Fragen? Antworten! Siehe auch: Alternativlos
Add advanced security protections on top of the streamlined management benefits of Chrome Enterprise Core, all with the expertise and scale of Google.Mit anderen Worten: Google sagt uns gerade ins Gesicht, dass der reguläre Chrome-Browser unsicher ist. Setzt den jemand von euch ein? Ich hoffe nicht! Wenn nicht mal der Hersteller den für sicher hält!?Was kriegt man denn für das Geld? "Malware deep scanning"! Auf der anderen Seite ist Idioten von ihrem Geld zu trennen das älteste Geschäftsmodell der Welt. (Danke, Kris)
Das peinliche an dieser Theorie ist ja, dass Microsoft tatsächlich in einer einmalig guten Position ist, um so einen Angriff durchzuführen. Die haben remote code execution auf allen Endgeräten, by design. Müssten nicht mal eine Sicherheitslücke ausnutzen oder eine Malware aufspielen, der Code könnte Teil von Windows sein und niemand würde es merken.
Und wenn sie doch Malware aufspielen müssten, könnten sie es via Windows Update machen. Die Beschreibungen der Patches sind absolut wertlos und nicht vertrauenswürdig. Niemand würde merken, wenn die da Malware verteilen würden.
Oh und noch was: Nach Microsofts eigener Definition ist Windows Malware. Der Defender uninstalliert explizit Software, die Werbung anzeigt. Windows zeigt Werbung an.
Unabhängig von dieser Verschwörungstheorie ist das gerade ein Popcorn-Event vom Feinsten. Die fucking Tagesschau diskutiert jetzt offen, ob man Webex überhaupt noch trauen kann. Noch?! Keiner von euch hatte jemals Anlass für Vertrauen in Cisco-Software! Im Gegenteil!
Aber nehmen wir mal an, die Bundesregierung verbannt Webex. Was dann? Zoom? Teams?!? MWAHAHAHAHA
Ich beobachte ja dieses ganze Security-Theater seit Jahren belustigt und Popcorn mampfend von der Tribüne. Seit Jahrzehnten warnen jetzt Experten davor, USB-Sticks in den PC zu stecken.
Der Hauptgrund war immer, dass man da ein Filesystem mit Autorun-Datei drauf haben konnte, und Windows würde das dann beim Reinstecken einfach ausführen und etwaige Malware installieren. Das ist seit Jahren nicht mehr so.
Aber USB ist halt ein recht generisches Protokoll, und nur weil das wie ein Stick aussieht, heißt das nicht, dass es sich auch als USB-Stick anmeldet. Es kann sich auch als Tastatur und Maus anmelden und Eingaben tätigen, die einen Trojaner "von Hand" installieren.
USB-Geräte reinstecken ist also immer noch grundsätzlich riskant, nicht nur unter Windows.
Das ist leider ein grundsätzlicher Trend in der IT. USB 4 geht sogar noch weiter und kann PCI sprechen, d.h. ungefragt Speicher auslesen. Da kann sich der Host zwar gegen wehren, aber nicht komplett (die Granularität der Zugriffsrechte ist eine Speicher-Page).
Nichts davon musste sein. Das sind alles selbst zugefügte Wunden.
Was tun die so? Die Domain leitet auf cloudmark.com weiter:
Industry leading protection against smishing/phishing, malware, & spamGenau mein Humor!
Ich hoffe mal, da ist keiner von euch Kunde.
Update: Geht noch weiter. Der abuse-Report bounced.
This is an automatically generated Delivery Status Notification.Oh. Ging nicht wegen ging nicht. Das hat ja schon fast Bahn-Niveau ("Verspätung wegen Verzögerung im Betriebsablauf"). Und ab ins Killfile, die ganze Domain. Wer einmal abuse bounced, ist draußen.Delivery to the following recipients failed permanently: * support_mos@cloudmark.com
Reason: We are unable to deliver the message
Wenn du im App Store deines Vertrauens eine App auswählst und installieren willst, dann zeigt dir der Laden eine Liste mit Befugnissen an, die die App haben will. Die Facebook-App ist beispielsweise notorisch dafür, Zugriff auf alles haben zu wollen.
Das zeigt dir der App Store nicht an, weil sie gute Menschen sind, sondern das ist eine Schuldumkehr. Wenn du die App trotzdem installierst, und die dann deine Daten in die NSA-Cloud telefoniert, dann bist du selbst schuld. Wir haben dich sogar extra gewarnt!1!!
Das ist deine Verantwortung, keine Apps zu installieren, die komische Dinge tun wollen.
Update: Wo wir gerade bei App-Store-Missverständnissen sind: Die App Stores prüfen nicht, ob die App "Malware" ist. Tun sie nicht. Können sie auch gar nicht. Daher behaupten sie auch nicht, dass sie Security prüfen, denn dann wären sie ja in der Haftung, wenn Malware durchkommt. Das App Store-Ökosystem macht genau eine Security-Zusage: Dass die App nicht die Kamera benutzen kann, außer sie hat das beantragt, der App Store hat es angezeigt, und der User hat OK geklickt.
Das Betriebssystem auf dem Telefon versucht dann noch ein paar andere Dinge zu garantieren, wie z.B. dass die Apps ordentlich voneinander isoliert sind und sich nicht einfach Dateien ändern können. Aber da gibt es absichtlich eingezogene Wege, wie sich Apps doch gegenseitig reinpfuschen können. Eine davon ist bei dem eID-Ding gerade zum Problem geworden. Das ist aber gewollt, dass du als Inhaber des Telefons eine andere ID-App installieren kannst als die eine. Die können an der Stelle nicht gewinnen.
Update: Ja aber aber aber Fefe, kennst du nicht Play Protect? Die scannen doch nach Malware!1!!
Das ist eine PR-Nebelwand. Man erkennt das schon daran, dass sie "safety check" sagen, nicht "security check". Das ist im Deutschen dasselbe Wort, im Englischen nicht. Sie behaupten auch sorgfältig nicht, dass sie dich vor Malware schützen. Genau genommen machen sie überhaupt keine Sicherheitsgarantie. Sie warnen bloß davor, dass sie Apps unter deinem Arsch weglöschen können von deinem Gerät. Da geht es dann aber eher um ihr Geschäftsmodell als um deine Sicherheit.
Die eine relevante Metrik für sowas ist: Haften die für Schäden, die von Malware verursacht wird, die an ihren Scans vorbeigekommen ist.
Nein. Tun sie nicht. Natürlich nicht. Weil das PR ist, nicht Security.
Sagt mal, habt ihr eigentlich Windows Defender laufen, um euch vor Malware zu schützen?
Da haben ein paar Kaspersky-Mitarbeiter auf ihren Telefonen Malware gefunden. Es waren Apple-Telefone. Sie haben die Exploit-Chain mitgeschnitten und bei uns öffentlich verbrannt.
Die Exploit-Chain (und hier müsst ihr möglicherweise meiner professionellen Einschätzung trauen) war insgesamt mindestens 8stellig Dollar wert. Die haben da einmal die aktuelle Toolbox der NSA verbrannt, oder des GCHQ. Das war der Hammer, was die da für 0days hatten.
Es ging los mit einer Memory Corruption im Truetype-Interpreter (bis hier noch nicht so spektakulär). Von da aus hatten sie einen Kernel Exploit, der aus interpretiertem Javascript heraus ging.
Und am Ende schrieben sie dann ein paar magische Werte in eine undokumentierte MMIO-Adresse und dann überschrieb irgendeine Hardware an allen Schutzmechanismen vorbei physischen Speicher ihrer Wahl mit Werten ihrer Wahl.
Der Adressbereich liegt in der Nähe der GPU und ist in älteren Geräten drin, aber auch in M1 Apple Silicon. Das ist ja schon der Hammer, aber um dieses Operation auszulösen, muss man auch einen undokumentierten Hashwert des Requests in ein undokumentiertes MMIO-Register schreiben. Den Hash haben sie jetzt halt reversed und veröffentlicht.
Aber damit scheiden aus meiner Sicht alle gutartigen Erklärungen für diese Funktionalität aus. Für Debug-Funktionanlität braucht man keinen "geheimen Hash".
Sie haben das an Apple gemeldet und Apple hat dann den Adressbereich gesperrt. In der Konfigdatei für gesperrte Bereiche steht normalerweise das Gerät dran, um das es geht. Hier steht: "DENY".
Da werden gerade einige Geheimdienste sehr unglücklich sein.
Golem formuliert hoffnungsvoll:
Auch damals kam es zu weitreichenden Ausfällen über einen Zeitraum von mehreren Wochen, während die IT-Systeme neu aufgesetzt wurden. Die zuständigen Administratoren dürften darin also inzwischen geübt sein.Wenn ihr mich fragt, sollten die Zuständigen (und zwar nicht nur die Administratoren!) beim Arbeitsamt in der Schlange stehen.
But sources said breaches were first detected as far back as 2015, when experts realised sleeper malware – software that can lurk and be used to spy or attack systems – had been embedded in Sellafield’s computer networks.Ja gut, das ist eine Atomruine. Was würden ausländische Hacker da wollen?The site has the largest store of plutonium on the planet and is a sprawling rubbish dump for nuclear waste from weapons programmes and decades of atomic power generation.Sonst noch was?Guarded by armed police, it also holds emergency planning documents to be used should the UK come under foreign attack or face disaster.Update: Die Regierung dementiert. Schade nur, dass die so unglaubwürdig sind.
In meinem Vortrag habe ich über die Architektur hinter meinem Blog gesprochen. Also: gatling, blog.cgi und tinyldap. War eine Keynote, kein technischer Vortrag, und am Ende der Veranstaltung hat eh keiner mehr Kraft für tiefschürfende technische Ausführungen.
Aber es hat mich zum Nachdenken gebracht. Meine ganzen Projekte sind inzwischen alle ziemlich alt. Waren die eigentlich ein Erfolg? Wie definiert man überhaupt Erfolg bei sowas?
Kürzlich wies mich ein Leser auf diese Analyse einer russischen Malware hin, in der der Analyst meine dietlibc gefunden hat. Also SO einen krassen Fall von GPL-Verletzung hatten wir ja schon lange nicht mehr! Ich verlange die Herausgabe des Quellcodes!!1!
Schön ist das natürlich nicht, wenn mit meiner Library irgendwelche Trojaner geschrieben werden. Auf der anderen Seite aber auch irgendwie ein Ritterschlag. Wenn du willst, dass dein Trojaner auf allen Distros funktioniert, auch mit echt alten Kernels, dann gibt es schlechtere Wahlen als dietlibc. :-)
Tja, und dann habe ich mal ins cvs log von tinyldap geguckt. Der erste Checkin von Makefile war im Januar 2002. Über 20 Jahre her! Wie die Zeit vergeht.
Am Ende ist tinyldap das Projekt, das mir am meisten gebracht hat. ASN.1 ist kein abstraktes Mysterium mehr für mich. LDAP auch.
Auf Platz 2 vom Lerneffekt her ist dietlibc. Wo ich früher häufig irgendwas fummeln musste, kenne ich jetzt die obskure libc-Funktion, die genau das erledigt.
Unter dem Strich hat mir das derartig viel Erfahrung gebracht, dass ich die Projekte auch als großen Erfolg werten würde, wenn die außer mir nie jemand eingesetzt hätte.
dietlibc könnte ihre größte Popularität sogar noch vor sich haben. Wenn die Leute merken, dass man nicht Go benutzen muss, wenn man Binary haben will, das ohne weitere Abhängigkeiten einfach lauffähig ist. Ein Docker-Image aus nur einem Binary ist im Moment praktisch ein Monopol von Go. Das könnte man genau so gut mit dietlibc machen, oder von mir aus mit musl-libc.
Kann eigentlich nicht mehr lange dauern, bis den üblichen Verdächtigen unter den Microservice-Leuten das auffällt. Any day now.
Tsja. Auf die nächsten 20 Jahre!
Zusammenfassung: Komplettes Versagen auf allen Ebenen. Eine atemberaubend lange Kette an Versagen führte dazu, dass ihre Policy nicht sauber umgesetzt wurde, das Produktionsnetz vom normalen Corpnet zu trennen. Darüber konnte über einen Crashdump (glauben sie!) ein Production Key ins Corpnet kommen.
Ja äh Sekunde, warte mal, sollte das Corpnet nicht auch komplett sicher sein? Ich meine, dort wird der Code geschrieben, der am Ende bei euch Endkunden läuft?
Nein. Das Corpnet ist offensichtlich komplett durchseucht. Ein einziger Key-Leak aus dem Produktionsnetz ins Corpnet hat gereicht für eine Total-Kompromittierung. Microsoft spricht hier von "Assume Breach" wie in der Policy, aber es ist nicht nur eine Policy. Deren Corpnet ist offensichtlich tatsächlich komplett durchseucht und in den Händen irgendwelcher "Threat Actors".
Warum? Lasst mich das kurz aufklären: Weil sie das tödliche Trio einsetzen. Windows, Active Directory und Office. Man nimmt ja immer gerne an, dass die ganzen Microsoft-Kunden einfach alle zu blöde waren, das ordentlich einzusetzen. Nein. So ist das nicht. Microsoft setzt das intern auch ein und hat genau dieselben Probleme wie alle anderen. Wir hören nur selten davon.
Am Ende haben sie nicht etwa ihr Corpnet zugenagelt als Reaktion auf dieses Problem. Nein. Sie haben die lange Liste der Bugs auf dem Weg dieses Exploits gefixt. "Best Practices" heutzutage. Man baut erst einen kaputten Müllhaufen, dann macht man einen Pentest und fixt alle gefundenen Issues. Dann wird man von den Chinesen gehackt und fixt wieder alle gefundenen Issues. Eine Woche später wird man von den Russen gehackt und fixt wieder alle gefundenen Issues. An keiner Stelle versucht man auch nur, eine tatsächlich sichere Software zu schreiben.
Eine Sache noch. Der Key leakte über den Crashdump-Mechanismus aus ihrem Produktionsnetz in ihr Corpnet. Das heißt: Die Dienste in Produktion crashen. Und zwar nicht ab und zu, nein, ständig. Deshalb haben sie überhaupt einen Mechanismus bauen müssen, um Crashdumps aus der Cloud ins Corpnet zu ziehen.
Letzter Punkt: Normalerweise ist beim Übergang Produktion - Corpnet das Corpnet der Teil mit den höheren Privilegien. Hier ist das offenbar anders herum. Da hat das Cloud-Team wohl ein-zwei Mitarbeiter gehabt, die die desolate Lage korrekt eingeschätzt haben, was man hier vor wem schützen muss.
Wenn eure Firma also in die Cloud gezogen ist, weil ihr dachtet, unsere Haus-Installation crasht ständig, und dort ist das in guten Händen und es läuft zuverlässig durch, dann solltet ihr das nochmal neu bewerten jetzt.
Update: Achtet auch mal darauf, wie sie begründen, wieso sie im Prod-Netz dem Corpnet nicht trauen!
Our corporate environment, which also requires secure authentication and secure devices, allows for email, conferencing, web research and other collaboration tools. While these tools are important, they also make users vulnerable to spear phishing, token stealing malware, and other account compromise vectors.
Genau das, worüber auch ihre Kunden sich Ransomware einfangen. Das betrachten sie selber als so ein hohes Risiko, dass sie das Prod-Netz lieber davon trennen.
Wenn wir doch nur eine Firma kennen würden, die diese Software sicher machen könnte!1!!
Mich freut ja besonders, dass hier Teams als Risiko geführt wird ("Conferencing"). Alle Teile dieser Risikobetrachtung sind Microsoft-Software. Microsoft bewertet ihre eigenen Produkte als zu riskant, um sie in die Nähe ihrer Produktionsumgebung zu lassen.
BleepingComputer tested a malicious archive shared by Group-IB, who discovered the campaign, and simply double-clicking on a PDF caused a CMD script to be executed to install malware.Damit wurden offenbar über Monate Crypto-Wallets aufgemacht und ihr Inhalt gestohlen. Schnell updaten also, wenn ihr das einsetzt.Update: RAR wird auch von hunderten von 3rd-Party-Tools entpackt. Die verwenden dafür entweder den Open-Source-Unrar-Code oder unrar.dll oder unrar64.dll. Diese DLLs zumindest sind wohl auch betroffen. Das inkludiert dann vermutlich einmal alle Schlangenöl-Installationen auf diesem Planeten.
Probleme passieren halt. Wir können nur reagieren. Statt Vorbeuge machen wir lieber Telemetrie und sind dann wenigstens wohlinformiert, wenn wir wieder "Opfer" von "Angriffen" werden.
Bonus: Natürlich ist man dann nicht wohlinformiert. Die meiste Telemetrie versandet in irgendwelchen Sofaritzen.
Doch erst ein bisschen Vorgeschichte. Neulich war der russische Verteidigungsminister Shoigu in Nordkorea zu Besuch und hat sich dort feiern lassen. Die Nordkoreaner haben ihm stolz ihre Raketensysteme gezeigt, die mich in Form, Farbe und Transport-Vehikel frappierend an die russischen Modelle erinnern. Aber gut. Befreundete Nationen halt, denkt man sich.
Und jetzt die Reuters-Meldung.
Exclusive: North Korean hackers breached top Russian missile makerWait, what?
Das ganze geht zurück auf diese Analyse einer Security-Firma, die das ganze aufgedeckt haben will. Die betroffene russische Firma ist НПО машиностроения, die das halbe Arsenal der russischen Streitkräfte entwickelt haben, wenn man der Liste auf Wikipedia glaubt. Reuters fügt hinzu:
The targeted company, commonly known as NPO Mash, has acted as a pioneer developer of hypersonic missiles, satellite technologies and newer generation ballistic armamentsSo und was ist jetzt passiert? Nun, die Russen verwenden offensichtlich noch das tödliche Trio. Windows, Office und Active Directory. Solchen Leuten kannste einfach per Mail Malware schicken, und irgendein Depp wird schon drauf klicken.Aber kommen wir zum Slapstick-Teil:
Hegel's team of security analysts at SentinelOne learned of the hack after discovering that an NPO Mash IT staffer accidentally leaked his company's internal communications while attempting to investigate the North Korean attack by uploading evidence to a private portal used by cybersecurity researchers worldwide.Wartet, gibt noch ein Sahnehäubchen:When contacted by Reuters, that IT staffer declined to comment.Der plante wahrscheinlich gerade seine Flucht aus Russland. "Guten Tag, hier ist Reuters, haben Sie einen Kommentar dazu, wie Sie gerade Geheimnisse ihres Landes verraten haben?"Was für eine arme Sau.
Nehmt nur Barracuda. Die bauen "Email Security Gateways". Allerdings so schlecht, dass die reihenweise gehackt wurden.
Wenn man kurz einhält und sich fragt, was die zentrale Sicherheitszusage eines "Email Security Gateways" ist, dann fällt einem schnell auf, dass es das Netz vor Angriffen schützen soll, das heißt mindestens nicht selber hackbar sein darf.
Nicht nur kann Barracuda keine sicheren Appliances bauen, wie man an diesem Vorfall schön sieht. Sie sind auch nicht in der Lage, das ohne externe Hilfe zu bemerken (es brauchte einen externen Hinweis) oder aufzuklären (sie brauchten die Heißluftgebläse von Mandiant). Und jetzt der neue Rekord: Sie sind auch nicht in der Lage, gehackte Geräte wiederherzustellen.
Barracuda’s remediation recommendation at this time is full replacement of the impacted ESG.Wegschmeißen! Dem kann ich mich nur anschließen. Einem Hersteller, der eine Security Appliance verkauft, die gehackt werden kann, sollten man sofort alle Artefakte aus allen zugreifbaren Netzen rausschmeißen.Aber diese Meldung ist auch in anderer Hinsicht toll. Ein hocharomatisches Geschmackserlebnis für alle Security-Interessierten!
The vulnerability stemmed from incomplete input validation of user supplied .tar files as it pertains to the names of the files contained within the archive.Wenn du Dateien auspackst, um auf Malware zu scannen, hast du im Wesentlichen EINEN JOB: Nicht von komischen Dateinamen im Archiv verarschen lassen.Aber wartet, wir noch krasser.
Consequently, a remote attacker could format file names in a particular manner that would result in remotely executing a system command through Perl's qx operator with the privileges of the Email Security Gateway product.Perl! Der externe Kommandos ausführen darf! Und der auch noch mit den maximalen Zugriffsrechten läuft!Mir fällt gerade kein Weg ein, wie sie noch krasser verkacken könnten. Wer von so einem Laden Security-Produkte kauft, hat alles verdient, was ihm danach deswegen zustößt.
Update: Mit "Appliance" ist hier nicht zwingend ein Gerät gemeint, sondern kann auch ein VMware-Image sein. Elektroschrott entsteht also immerhin nicht notwendigerweise beim Wegwerfen.
New hotness: Russische Behörden regen sich über Malware aus den USA auf.
Und zwar will der FSB zusammen mit dem FSO (Präsidentenschutz) Apple-spezifische Malware gefunden haben, und behauptet jetzt, Apple habe auf Geheiß der NSA bewusst Lücken eingebaut, damit die NSA darüber Malware verbreiten kann.
Beweise legen sie keine vor.
Das FBI hat Recht.
Auf einer fundamentalen Ebene war das natürlich die ganze Zeit klar. Wenn du einen Fahrstuhl anfasst, dann könnte da was kaputt sein und du könntest einen Stromschlag kriegen. Es gibt immer ein Risiko, wenn du anderer Leute Hardware anfasst oder mit deinen Geräten verbindest.
Aber bei USB haben sie dieses fundamentale Risiko gesehen und "hold my beer" gesagt. USB ist eben nicht nur für Strom sondern auch für Datenübertragung. Wenn du also dein Smartphone per USB mit etwas verbindest, weiß das Telefon nicht, ob du Laden willst oder ob du Daten übertragen willst.
Alle Datenübertragungen bergen das Risiko in sich, dass man darüber gehackt werden kann, weil einem jemand böse Daten schickt, die einen Bug im Code ausnutzen. Bei USB gibt es jetzt keinen Weg, "nur zum Laden" zu verbinden. Früher hat man über USB auch immer sofort seine Fotos exportiert z.B., das ist inzwischen anders. Smartphones heutzutage machen über USB nicht mehr viel, außer der User unlockt das Gerät und gibt das manuell frei. Ein Restrisiko bleibt aber auch hier, denn wenn du dein Telefon am Flughafen auflädst, bist du wahrscheinlich gelangweilt und hast das Gerät aufgeschlossen.
USB geht sogar noch weiter und hat eine Protokollkomponente fürs Stromladen. Selbst wenn man also nur Laden will, dann gibt es trotzdem die Möglichkeit, dass dieses Protokoll einen Fehler exponiert, den jemand ausnutzen kann. Der Standard heißt USB Power Delivery, könnt ihr ja mal googeln.
Insofern, zusammenfassend: Früher war das ein ganz großes Problem. Heute ist es ein viel kleineres Problem. Aber Fachleute erkennst du auch heute daran, dass sie ein Ladegerät dabei haben und das in eine Steckdose stecken, statt sich per USB mit einer fremden USB-Dose zu verbinden. Das solltet ihr auch so handhaben.
Als Zyniker muss ich an der Stelle auch darauf hinweisen, dass das FBI weiß, dass man so Malware aufspielen kann, weil sie genau das selber regelmäßig tun. Der Marktführer für solche Geräte heißt Cellebrite. Die beliefern viele Polizeien, Zollbehörden und Geheimdienste der Welt.
Update: Jetzt schreiben mir hier lauter Klugscheißer, dass man ein USB-Ladekabel machen kann, wo halt nur die Lade-Pins durchgereicht werden. Ja, kann man machen, aber dann fällt da halt nur 5W raus. Da lädst du dann einen Tag an dienem Smartphone rum und einen Laptop kannst du damit schon mal gar nicht betreiben.
Ja aber Fefe, manche Netzteile ignorieren, dass die Pins nicht verbunden sind, und pumpen da immer ihre 20W oder 60W rüber! Diese Geräte sind nicht Spec-konform und im Übrigen auch lebensgefährlich. Sowas solltet ihr keinesfalls einsetzen.
Im Übrigen: Wenn ihr wisst, wie man bei einem USB-Kabel die Pins trennt, die fürs Laden nicht gebraucht werden, dann wart ihr offensichtlich nicht die Zielgruppe für diesen Beitrag. Schweigen ist Gold.
Wir haben gefragt: Ist Wikileaks Journalismus? Sollten die unter Pressefreiheit fallen?
Wir hätten fragen sollen: Wieso fällt eigentlich nicht nur Wikileaks unter Pressefreiheit?
Wikileaks hatte ja Vault 7, die Malware-Tools der CIA. Da kann man ja mal einen schönen Vergleich anstellen. Bei den "Vulkan-Files", stellt sich direkt heraus, fehlen die Files. Gibt es überhaupt Files? Keiner von euch hat sie gesehen.
"Geheimdienste bestätigen die Echtheit, sagt die SZ".
Oh, ach? Machen wir mal ein Gedankenexperiment.
Fefe sagt, der Chefredakteur der SZ ist ein Sauriode. Geheimdienste hätten ihm das bestätigt.
Mal abgesehen davon, dass Geheimdienstaussagen grundsätzlich wertlos sind: Woher weißt du denn, dass die Geheimdienste das der SZ bestätigt haben? Die SZ könnte sich das ja auch einfach komplett aus dem Arsch gezogen haben, inklusive der "Bestätigung"!
Ich will hier nicht auf der SZ herumkloppen, die anderen sind alle genauso. "The Guardian has obtained documents". Ja geil. Schön für euch, Jungs. Solange ihr mir die nicht zeigt, ist das wertlos.
DAS ist der Stand des Journalismus heutzutage. Zum Vergleich: Vault 7. Wikileaks veröffentlichte nicht Hörensagen sondern die Tools und Handbücher. Puff. Einfach so ins Netz gestellt. Jeder konnte sich das angucken und selbst auf Plausibilität prüfen.
Klar, das hätte sich Wikileaks auch aus dem Arsch gezogen haben können. Aber dann wäre es immer noch ein Geschenk von siebenstellig wertvollen digitalen Angriffswerkzeugen gewesen.
Wieso ist das eigentlich nicht der Goldstandard des Journalismus? Wieso sollte eine Hörensagen-Postille wie die Süddeutsche Presseprivilegien genießen, wenn sie uns noch nicht mal die angeblichen Vulkan-Files zeigen wollen?
Die Vault7-Dokumente kann man übrigens immer noch einsehen. Einfach so. Und wisst ihr, was Wikileaks nicht behauptet? Weder "exklusiv" noch "investigativ". So dreist lügen euch nur die anderen Presseorgane ins Gesicht.
Oh und wisst ihr, was es bei Vault7 auch nicht gibt? Eine Paywall.
So, kann mir jetzt nochmal jemand erklären, wieso die Süddeutsche Presseprivilegien genießt und Wikileaks nicht?
Presseprivilegien kriegt, wer gegen feindliche Eliten schreibt! Wer gegen unsere Eliten schreibt, wird jahrelang illegal inhaftiert und an die Amis zum Foltern oder gleich ermorden ausgeliefert.
Update: An der Stelle möchte ich auch erwähnen, dass mich das Beweisführungsniveau in Sachen Vulkan gerade an Colin Powell erinnert. Lange nicht mehr SO einen Slam-Dunk erlebt!
Ach Scheiße, ist Paywall.
Oh, die Süddeutsche hat eine investigative Exklusiv-Story über russische Cyberkrieger!
Oh, ist auch Paywall.
Geh ich halt zu Le Monde. Die haben auch eine exklusive Investigativ-Story über russische Cyberkrieger! Oh. Auch Paywall.
Macht nichts. Dieselbe "exklusive" "Investigativ"-Story gibt es auch bei dem ZDF, dem Standard, der Washington Post und dem Guardian.
Stellt sich raus: Ein "Whistleblower" (bestimmt nicht die Psyop-Abteilung der ukrainischen Streitkräfte!1!!) hat der Süddeutschen vor einem Jahr (nein, wirklich! Seit einem Jahr sitzen die da jetzt drauf!) ein paar Papiere "geleakt". Alle diese "investigativen" "Exklusiv"-"Berichte" basieren auf denselben Papieren.
Leute, äh, "exklusiv" und "investigativ" haben eine Bedeutung. Aber nicht die, die ihr zu glauben scheint.
Exklusiv heißt, dass man das nur bei dir lesen kann.
Investigativ heißt, dass ihr das selbst rausgefunden habt. Durch, äh, Nachforschungen. Wenn euch ein Whistleblower eine Festplatte in die Hand drückt, ist das nicht investigativ.
Und inhaltlich? Ich seh da erstmal nur Geraune über angebliche Malware, an denen diese Firma Schuld gewesen sein soll. Quelle: Sagen westliche Geheimdienste und westliche Security-Firmen, die damit in ihrer Werbung Aufmerksamkeit generiert haben.
Sorry, das ist schon in Friedenszeiten Scheiße. In Kriegszeiten, von einem "anonymen" "Whistleblower" ist das mehr als Scheiße. Da ist das "wir verbreiten Propaganda".
Wie? Nein, nicht wegen Malware. Wegen Microsoft.
Windows 10 users are reportedly being blocked from accessing their desktops by full-screen trial offers for the Microsoft 365 productivity suite (formerly Office 365).These offers (titled "Access granted: We're giving you a free trial of Microsoft 365 Family") are being pushed via full-screen notifications that give the users no choice but to enter their payment information to activate the trial.
Na ich hoffe mal, dass es da eine schöne fette Class-Action-Klage in den USA setzt. Das geht ja mal überhaupt gar nicht, und es ist scheißegal, ob das ein Versehen war oder nicht.
Anders formuliert: DAS war bisher der Schutz vor Malware. Dass es zu schwierig für Skript-Kiddies war, Malware zu hacken. Nicht dass wir verteidigen. Nein. Dass die Angreifer zu blöde sind.
Da ergibt plötzlich vieles Sinn.
Auch psychologisch! Jeder hält sich für überdurchschnittlich intelligent. Meine Abwehr muss also nicht verhindern, dass man das System angreifen kann, sondern nur, dass jemand wie ich es angreifen kann. Wenn ich dann besonders inkompetent bin, wie in der Wirtschaft und öffentliche Verwaltung üblich, dann kommen am Ende halt ständig Angreifer durch. Und dann faselt man einfach was von "hoher krimineller Energie", sagt, man habe die Behörden eingeschaltet, und leitet eine "forensische Untersuchung" ein.
Dabei braucht man keine Untersuchung um zu sagen: Dann hat wohl der Admin verkackt, dessen Job es war, das abzusichern!
Heute so: Samsung verdatenreichtumt ihren Android app signing key.
Gut zu wissen, dass unsere digitale Infrastruktur in so exzellenten Händen ist.
Lange fühlte ich nicht mehr so einen starken Impuls von Mitgefühl in mir hochwallen, sage ich euch.
Ja ist ja komisch! Ist ja fast als wäre Code Signing bloß Schlangenöl!?
Also das ist ja wohl mal ein klarer Fall, wo wir jemanden gebraucht hätten, der uns da rechtzeitig warnt!
Ist doch immer dasselbe. Es wurden schon alle Fehler gemacht, nur noch nicht von jedem. Erfahrung ist, wenn du die Fehler wiedererkennst, die du machst.
Kim Kardashian got paid $250k to promote Ethereum Max then lost $1.3m of that to an SEC fine. Would have gotten better returns just investing in Ethereum MAX, which is down 97% since her post.Lange empfand ich nicht mehr so viel Mitleid für jemanden.
Das ist normalerweise in Ordnung. Aber eine Sache hat mich immer gestört. Ich kann nicht einen leeren Container aufsetzen und dann in dem Container ein Programm ausführen. Das Programm (die Datei) muss selbst in dem Container liegen.
Das Programm kann den Container selber aufsetzen, nachdem man es gestartet hat, und sich dann in dem Container einschließen. Das geht.
Aber jetzt geht auch ein Programm in einem Container starten. Linux hat jetzt einen Syscall namens execveat (schon seit Jahren, seit Version 3.14 sagt die Man Page). Das nimmt wie openat einen "dirfd", wo man den Deskriptor eines Verzeichnisses reingeben kann, und relativ zu dem werden relative Dateinamen dann aufgelöst. Aber es gibt auch ein Flags-Argument, und da gibt es das Flag AT_EMPTY_PATH. Wenn man das übergibt, dann ist dirfd nicht ein Verzeichnis sondern das Binary, das man ausführen will. Damit wird jetzt ein Szenario möglich, in dem man ein Binary öffnet, dann ein chroot oder Namespace-basiertes Jail aufsetzt, in dem das Binary nicht liegt, und dann in dem Jail das Binary ausführt.
Finde ich super. Wollte ich schon länger haben. Hilft natürlich erstmal nur mir, denn dynamisch gelinkte Programme brauchen immer noch ihre shared libraries in dem Jail, und Skripte brauchen immer noch ihre Interpreter in dem Jail. Das will man ja eigentlich auch nicht haben. Aber ich linke ja statisch, für mich reicht das.
Es hat noch eine interessante Auswirkung. Man kann unter Linux mit memfd_create einen Deskriptor auf eine Datei erzeugen, die nie die Festplatte berührt. Da kann man dann eine Malware reinschreiben und so ausführen. "Endpoint Security", die Dateien auf der Platte scannt, würde das gar nicht sehen.
Man konnte sich das bisher zusammentricksen, indem man execve auf /proc/self/fd/15 macht, aber dafür muss in dem Jail /proc gemountet sein.
Auf der einen Seite will ich nicht nur schreiben, wie kaputt alles ist. Auf der anderen Seite will ich aber auch nicht dafür sorgen, dass Leute länger bei Windows bleiben, weil sie dank irgendwelcher Konfigurationsratschläge den Eindruck haben, sie könnten das schon irgendwie absichern. Zu guter Letzt bin ich Code Auditor, nicht Admin. Was man da alles konfigurieren kann ist nicht mein Spezialgebiet. Am Ende verbreite ich noch Unfug?
Daher haben meine Zero-Trust-Folien am Ende eine eher allgemeine Vision.
Allerdings kam ein Leserbrief mit konkreten Ratschlägen rein, den ich jetzt mal veröffentlichen möchte. Nehmt das aber bitte nicht als abzuarbeitendes Howto sondern als Grundlage für eigene Recherchen. Ziel der Übung sollte sein, dass ihr ein bisschen mehr verstanden habt, wie die Dinge funktionieren.
zu deiner Zero Trust Präsi möchte ich mal etwas zur Windows Security einwerfen. Sorry, ist etwas länglich geworden.Anmerkung von mir: Die ct hatte dazu mal ein Tool veröffentlicht, da könnt ihr damit mal herumspielen.Wir sind IT Dienstleister und übernehmen in der Regel den Service einer bestehenden IT Landschaft die entweder vorher durch den Kunden oder durch einen anderen Dienstleister betreut wurde. KMU 1 bis 500 MA.
Dahin zu gehen und den Kunden Windows und Outlook wegzunehmen wird in der Regel nicht gelingen. Wenn es möglich ist einen neuen Server auf Linux hoch zu ziehen könnte man das vorschlagen und umsetzen, da hört es aber dann auch schon auf.Der Satz "Das geht, weil Sie Outlook und Office benutzen" stimmt leider in den meisten Fällen, obwohl das nicht so sein müsste.
MS liefert schon seit Windows 2000 allerhand Techniken mit die genau das alles verhindern. Wir haben aber noch nicht einen Kunden bekommen bei dem irgendwas davon aktiv war und holen das alles schleunigst nach. Das schlimmste was uns als Dienstleister passieren kann, ist ein Ransomwarebefall eines Kunden bei dem wir die Schuld tragen, weil deren Systeme nicht sicher sind, obwohl man es *ohne* Anschaffung zusätzlicher Software hätte besser machen können. Der Kunde verlässt sich darauf dass wir ihm eine sichere Arbeitsumgebung geben. Es ist ein Unding, dass ein aktueller Windows Server bei einer frischen Active Directory Installation immer noch fast die gleichen Sicherheitsdefaults verwendet wie es in 2000 eingeführt wurde und so kommt es, dass von all dem was nun kommt in freier Wildbahn oft nichts zu sehen ist.1: Software Restriction Policies (SRP), ja ich weiß ist deprecated, läuft aber selbst auf Win 11 noch. MS wollte das durch Applocker ersetzen. Ist aber auch deprecated. MS will das durch Defender Application Control ersetzen, geht aber nur per XML oder und nur in Enterprise oder so. Wir bleiben bisher bei SRP, weil das keine Enterprise Lizenzen braucht und seit Win 2000 unverändert läuft. Muss man halt nach jedem größerem Update testen ob es noch geht.
Was tut es? Windows führt nur noch EXE, CMD/BAT, PS1, sonstwas aus Pfaden aus die der Admin per GPO festgelegt hat. Outlook kopiert den Anhang aus der Mail in ein Temp Verzeichnis und will es dort starten. Das darf es dann nicht mehr. Admins installieren nach c:\program files\. Das ist erlaubt. Ein User darf da nicht schreiben.GPO ist ein Group Policy Object, oder in deutschen Versionen: Gruppenrichtlinien.
MS torpediert es aber selbst mit Programmen die sich unter AppData\Local installieren. Teams z.B. und andere Hersteller sind da auch keine Vorbilder. Muss man sehr enge Ausnahmen setzen und das Risiko in kauf nehmen.2: Makros. Ja, der gelbe Balken bringt nix. Per GPO hart ganz abschalten. Brauchen ohnehin die wenigsten Anwender. Die die es brauchen, kann man geziehlt auf die Dokumente einschränken für die es gehen soll. Was machen die Malware Makros? VBS oder Powershell Script ausführen und Payload nachladen und starten. Geht eigentlich durch SRP schon nicht mehr, aber es soll ja Bugs geben die vielleicht um SRP drum rum kommen.
3: Beschafft sich lokale Admin-Rechte und übernimmt den Domain Controller.In meinen Folien hatte ich gesagt, dass Lateral Movement nicht Teil des Threat Models ist. Ich bin mir unsicher, inwieweit man das verallgemeinern kann. Ich unterhalte mich zu Ransomware mit Kumpels, die weiter oben auf der Eskalationsskala sitzen, die sehen dann praktisch ausschließlich Fälle, bei denen der AD übernommen werden konnte. Ich habe leider keine Zahlen, wie hoch der Prozentsatz der Ransomware-Angriffe ist, die man verhindern könnte, wenn man Lateral Movement unterbindet. ALLERDINGS: Wenn man durch andere Maßnahmen dafür sorgt, dass der Sprung zum Domain Admin nicht geht, dann wird die Verhinderung von Lateral Movement plötzlich eine wichtige Maßnahme. Genau das spricht der Leserbrief hier an.
Wenn 1 und 2 versagt hat kommen wir dahin. Nächste Verteidigungslinie ist Lateral Movement zu verhindern.Es gibt genug GPOs zum härten der Systeme, aber man klemmt halt damit alten Legacy ab, was ich aus technischen Sicht eigentlich ganz gut finde. NTLM Auth weg, Credential Caching für Admins und generell Server abschalten, Debugging Rechte global abschalten und nur im Einzelfall erlauben. LAPS benutzen, auch für Server. Das macht es Mimikatz schon ganz schön schwer an verwertbare Daten zu kommen.
Mit ESAE hat MS schon lang ein Konzept die Admin Ebenen voneinander zu trennen. Man muss auch nicht zwingend mehrere Domänen betreiben um den wichtigsten Teil davon umzusetzen.Ich hab das in einem Nebensatz irgendwo erwähnt, dass man die Admin-Accounts aufteilen soll, und dass der Domain Admin nicht an die Datenbanken können soll. Der Leser hier hat völlig Recht, das kann und sollte man noch mehr auftrennen. Dann hat man tatsächlich etwas getan, um im Threat Model ein Bedrohungsrisiko zu senken.
Bei uns darf ein Domain Admin nicht mal PCs in Domänen aufnehmen. Niemals sollte sich ein Domain Admin an einem Client anmelden und das lässt sich auch per GPO verhindern.
Der darf auch nur an Domain Controller, die CA und ähnliche Systeme. Ein Server Admin darf da nicht hin und der darf auch nicht an Clients. Ja, der Domain Admin hat dann halt 4 User Accounts. User, Client Admin, Server Admin, Domain Admin. Natürlich mit Grundverschiedenen Passwörtern. Kommt man mit klar.
Selbst ein Keylogger auf dem Client bekommt dann höchstens den Admin für die Clients, aber kann immer noch nicht auf Server oder gar Domain Controller.Dazu sei angemerkt, dass auch mit Smart Cards im Hintergrund immer noch Kerberos läuft mit Kerberos-Tickets, die abgreifbar sind. Aber die laufen wenigstens nach einer Weile aus.4. Benutz Smart Cards für die Admins und lass nur Anmeldungen per Smart Card zu. In dem Fall kann ein Keylogger auf dem PC auch das Kennwort nicht einfach mal mitlesen.
USB Smart Cards sind nicht teuer. Die Menge an Admins überschaubar.
Für RDP gibt es dann noch den Restricted Admin Mode mit entsprechenden Komforteinbußen.
In Enterprise Editionen noch Credential Guard, usw.
5. Exchange kann Split Permissions. Nutzt das. Es entfernt die Berechtigungen dass der Exchange Server Domain Admin Rechte hat. HAFNIUM war damit nur halb so schlimm.Für die BMC und Hypervisoren würde ich dringend zu physisch getrennter Verkabelung raten, statt zu irgendwelchen Software-Geschichten.
Server müssen auch nicht überall ins Internet dürfen. Verhindert dass Malware auf euren Servern ganz bequem per HTTPS ihren Payload laden können.Erweitert das noch mit VLANs und Firewalls. Kein Anwender muss auf die ESXi Infrastruktur, einen Switch oder das BMC vom Server. Die müssen auch auf die wenigsten Ports für die Anwendungsserver. Da reichen oft ACLs auf dem Core Switch um zumindest bei Line Speed zu bleiben.
Backupserver aus der AD nehmen. Per Firewall/ACL einschränken, dass der an die Server darf, aber die Server nicht zum Backupsserver.Das ist ein guter Ratschlag!
All diese Dinge die ich beschrieben habe gehen mit Bordmitteln. Da ist nicht ein Anti-Virus, SIEM oder sonst eine 3rd Party Lösung beteiligt.Nur ein Nachsatz noch von mir: Der Feind ist Komplexität. Es ist zwar schön, dass man bei Microsoft eine Menge konfigurieren kann, so dass es weniger schlimm ist, aber am Ende des Tages überblickt niemand mehr den ganzen Softwarehaufen, und alle sind nur an der Oberfläche am Herumkratzen. Das betrifft glücklicherweise auch die meisten Angreifer. Wirklich sicher fühlen würde ich mich da nicht. Und wenn man erstmal diese Art von Knowhow aufgebaut hat, dann wird man wahrscheinlich nie wieder von Windows wegmigrieren wollen.
Wir setzen das meiste davon bei Firmen ein die keine 10 Mitarbeiter haben. Das kann man mit Routine an einem Tag umsetzen. (Den Windows Teil zumindest) Testet das selbst mit Mimikatz, Bloodhound und was auch immer. Hackt euch selbst und danach oder wenn ihr das generell nicht könnt, holt euch noch einen Pen Tester um die offensichlichen Lücken weg zu machen.Am Rande: Domain Joined Device Public Key Authentication muss man nicht einschalten. Das ist per Default an. Man muss es aber erzwingen wenn man das Fallback nicht haben will. Ist fast das gleiche, aber doch nicht ganz und geht erst mit Server 2016.
Am weiteren Rande: Patchmanagement. Es wäre schön, wenn MS nicht Patches raus bringen würden die großflächig zu Boot Loops auf Domain Controllern, Druckproblemen oder 802.1X/802.11X Problemen führen würden. Dann hätte man auch mit Auto-Updates weniger schmerzen. So muss man eigentlich schon zwangsweise ein paar Tage warten, wenn man nicht vor einem Totalausfall am nächsten Tag stehen möchte. Beides verfahren sind somit schlecht.
Ich gehe nicht davon aus das danach das System unhackbar sicher ist. Wir sprechen hier immer noch von Software und von Microsoft, aber zumindest hat man etwas in die richtige Richtung getan und die offenlichtlichen Scheunentore geschlossen.
Wer nun mit dem erhöhten Supportaufwand argumentiert, dem sei gesagt dass er bei uns gesunken ist, weil die Anwender eben nicht mehr alles ausführen können was bei 3 nicht auf den Bäumen ist und die Computer dadurch so bleiben wie der Admin es sich mal vorgestellt hat.
Entwicklungsabteilungen können zusätzlich Nicht-Domain Computer oder VMs bekommen um ihre systemnahe Arbeit durchzuführen.
Aus meiner Sicht ist der Vorteil von Linux und co, dass es da keine natürliche Schranke gibt, wie viel Verständnis man von dem Gesamtsystem aufbauen kann.
Update: Einer der Gründe, wieso ich solche Tipps ungerne gebe, ist weil das alles furchtbar komplex ist, und es da immer wieder Untiefen gibt, die man halt nicht kennt, wenn man nicht nach ihnen sucht. SRP und UAC sind da exzellende Beispiele für. Seufz. Siehe auch hier und hier.
Das ganze funktioniert über Zero-Knowledge-Proofs, die gerade ein riesiger Hype sind, der besonders in der Blockchain-Szene gezeigt hat, dass man damit ganz hervorragend Investorengelder oder Forschungsmittel einwerben kann.
Ich bin mir ja ehrlich gesagt schon auf fundamentaler Ebene nicht sicher, wieso ich das haben wollen würde. Eines meiner Hauptprobleme mit digitaler Souveränität im Moment ist, dass ich keinen Google-Account aufmachen kann, weil Google eine Telefonnummer verlangt, die ich nicht bereit bin, ihnen zu geben. Das ist ein Problem für mich, weil Trolle auf Youtube Videos zensieren können, indem sie klicken, dass da nicht jugendfreie Dinge drin sind, und dann verlangt Google zum Angucken, dass man einen Account hat. Ich würde jetzt gerne derart zensierte Videos gucken können, aber nicht zu dem Preis, dass Google meine Telefonnummer sehen kann.
Wie hilft mir denn jetzt SSI dabei, meine Identität privat zu halten? Gar nicht!
OK, denken wir mal weiter. Google macht im Moment Milliarden damit, unbelegte Daten über uns alle zu verkaufen. Die Daten sind schon ohne Echtheitsbeweis Milliarden wert. Wenn Google per SSI Details über mich sieht, können sie an ihre Daten "validiert!" dranschreiben. Dann sind die noch mehr wert. Völlig wurscht, ob Google das Dritten gegenüber beweisen kann oder nicht.
Ich glaube daher, dass SSI in erster Linie eine akademische Masturbationsübung ist. Kann sein, dass es ein Problem löst. Aber das wäre dann keines, das mich betrifft.
Daher hab ich SSI bisher großflächig ignoriert. Rückblickend hätte ich das vielleicht nicht tun sollen, denn jetzt gibt es halt einen Wust aus mehr oder weniger unseriösen Instituten und Startups, die Lobbyarbeit bei der Regierung und in der Verwaltung betrieben haben, und da gibt es jetzt Pilotprojekte, die ich als verstörend empfinde. Eines gibt syrischen Flüchtlingen in Italien SSI-"Belege" für ihre Ausbildung in Syrien (nicht dass die Italiener das wirklich überprüfen könnten), und die werden dann angeblich an einzelnen deutschen Hochschulen anerkannt. Win-Win-Win!!1!
Schlimmer noch: Das Ökosystem entpuppt sich als U-Boot für die Umgehung des DSGVO-Datenhandelverbotes. Und die Pilot-App, die uns vom Konzept überzeugen wollte, war sicherheitstechnisch eine Katastrophe und ein Rohrkrepierer. Dass da überhaupt eine Blockchain beteiligt ist, ist ein Treppenwitz, denn die trägt überhaupt nichts zur Erfüllung des Konzeptes oder der Sicherheitsversprechen bei. Die ist bloß Trust Anchor und Speicher für Zertifikate (weil man sich das Aufsetzen einer gemeinsamen CA nicht vorstellen konnte) und soll Revocations regeln. Inhaltlich ein non-sequitur und ein Clusterfuck. Ist meines Erachtens nur drin, weil Fraunhofer beteiligt war, und die sammeln halt mit heißer Blockchain-Luft erfolgreich Kohle ein, also musste da Blockchain draufstehen.
Woher ich das weiß? Nun, nachdem Fluepke und Lilith einen Proof of Concept für das grundlegendste Konzeptproblem (du weißt gar nicht, wem du da eigentlich gerade deinen Ausweis zeigst!) veröffentlicht hat, gibt es jetzt ein Mythbusting-Paper von Fraunhofer. Nein, wirklich. Die nennen das selbst Mythbusting. Wer versucht ist, schon auf der Titelseite das Browsertab zuzumachen, weil da Projektgruppe Wirtschaftsinformatik steht: Haltet durch! Ihr verpasst das beste! Die Autoren sind nämlich zwei Professoren, einmal Uni Bayreuth, einmal Fachhochschule Frankfurt. Der eine "Professor für Wirtschaftsinformatik und Digitales Energiemanagement", der andere "Professor für Wirtschaftsinformatik, Digital Business und Mobilität". Beides ohne Überlappungspunkte mit den vorgeblichen Zielen von SSI. Wartet, wird noch besser. Beide sind auch:
Projektgruppe Wirtschaftsinformatik des Fraunhofer FIT, Leiter des Fraunhofer Blockchain LaborsAch. Ach was. Nicht nur die Blockchain ist verteilt, auch die Führung von deren "Fraunhofer Blockchain Labors" (nur echt mit Deppenleerzeichen!)? Also wenn ich mich unabhängig über Blockchain-Technologie informieren will, dann frage ich auch zuerst einen Blockchain-Lobbyisten und -Verkäufer eines "Blockchain Labors" (nur echt mit Deppenleerzeichen!), die auf Forschungsmittel für Blockchain-Blablah angewiesen sind. Wer sonst könnte uns neutral und unabhängig sagen, dass die Blockchain die Zukunft ist und absolut essentiell für Identitätsnachweise!1!!
Wartet, wird noch besser. Die haben ein Kapitel: "Mythos 4: Das SSI-Konzept weist technische Sicherheitslücken auf". Ab Seite 22. Und da steht:
Wie bei jeder öffentlichen Softwarearchitektur muss auch bei einem SSI-basierten System jederzeit mit böswilligen Akteuren gerechnet werden. Somit müssen vor dem Start ausführliche Penetrationstests durchgeführt werden, um Angriffspunkte auszuschließen.Ja, äh, danke. Keine weiteren Fragen. Wer Penetrationstests für ein Mittel zur Sicherstellung von Qualitätsstandards hält, mit dem muss man sich gar nicht weiter unterhalten. Und dann so: Oh, wir haben Man-in-the-Middle-Angriffe nicht verhindert? Die Angriffsart aus der Überschrift des Vorworts in jedem Buch über Kryptoprotokolle? Die elementarste Art, ein Protokoll zu verkacken? DAS haben wir zu bedenken vergessen? Nee, keine Sorge, sagt Fraunhofer, vertraut uns, da werden schon Lösungen diskutiert. Bei sensiblen Daten zertifiziert man einfach, wer die sehen darf. Und die Bösen kriegen dann keine Zertifikate!!1!
Das ist ungefähr so realistisch wie Microsofts Idee, dass man mit Code Signing Malware bekämpfen kann. Das funktioniert super, bis der erste signierte Malware unter die Leute bringt, was inzwischen regelmäßig passiert. Den Rest erspare ich mal euch und mir. Das wird nicht besser.
Tsja. Was erwartet man auch von einer Institution, die sich "Fraunhofer Blockchain Labor" nennt (nur echt mit Deppenleerzeichen!).
Update: Es gibt übrigens auch Ansätze, wie man SSI ohne Blockchain machen kann: re:claimID, lustigerweise auch auch ein Fraunhofer-Projekt, aber halt nicht von einem Blockchain-Institut. Von meinen fundamentalen Fragen beantwortet das leider auch erstmal nicht viele.
New hotness: Malware in der Bluetooth-Firmware überlebt Ausschalten des Iphone.
Diesmal hat der Autor schlicht keinen Bock gehabt, dass seine Module wöchentlich 20 Millionen Mal von irgendwelchen reichen Megacorps runtergeladen werden, ohne dass auch nur eine davon jemals einen müden Cent in seine Richtig geworfen hätte.
Ich kann nur sagen: Wenn du freie Software schreibst, weil du hoffst, dass Leute freiwillig mit Geld nach dir werfen, wirst du immer scheitern. Geschenke sind geschenkt. Das ist, was sie zu Geschenken macht. Du kannst nicht danach kommen und heulen, dass die andere Seite dir nicht auch was zurückgeschenkt hat.
Auf der anderen Seite: Punk lebt! Fuck the Megacorps!1!! :-)
Na SO eine Überraschung! Wollt ihr sagen, das dezentralisierte Geldsystem, das so dezentral ist, dass keine Regierung, kein Einzelner auf der Welt Geld einfrieren oder Transaktionen rückgängig machen kann, all das gar nicht ist?
Man könnte fast denken, dass das alles ein riesiger Scam ist!1!!
The fix is to temp disable the anti malware agent on the server. Via the .\Disable-AntiMalwareScanning.ps1 script in the $exscripts directory. Then restart transport service.Ach. Ach was.
Dann war das BIOS ein Eprom. Das musste auch funktionieren. Updates gab es nur über PC zur Werkstatt bringen, Eprom rausbasteln, neue Software aufspielen, Eprom wieder reinbasteln.
Aber irgendwie fand irgendwann jemand, dass man da unbedingt eine Malware-Plattform draus machen muss, und so ist das BIOS heute ein Flash, den man zur Laufzeit ändern kann, und es lädt Komponenten von der Platte nach.
Kein Wunder also, dass seit ein paar Jahren UEFI-Malware ein existierendes Konzept ist.
Aber was ist mit den Wartungs-Schnittstellen, fragt ihr euch vielleicht? Bei Intel heißt das BMC, Baseboard Management Controller. Die haben sogar noch mehr Zugriff als so ein typisches BIOS, denn wenn das Betriebssystem einmal läuft, und die Hardware direkt anspricht, kann das BIOS das nicht groß verhindern. BMC hingegen kann zwischen OS und Netzwerkkarte sitzen und das OS kann es nicht verhindern.
Der ideale Standort für Malware!
Und in der Tat gibt es jetzt offenbar Malware für HP iLO (deren Rebranding von BMC).
Eines Tages werden sie merken, dass man Management-Schnittstellen nicht essen kann. Bis dahin werden sie weiterhin überall welche einbauen und darüber gehackt werden. (Danke, Robin)
Kein Microsoft-Produkt ist fertig, bevor es für Malware-Verbreitung benutzt werden kann.
Auf der nach oben offenen Bullshit-Bingo-Skala fehlt da nur noch "kriminelle Energie" und dass man mit Hochdruck daran arbeite.
Wenn ich mal einen Tipp abgeben sollte, so aus der Ferne, ohne jeden Feindkontakt: Windows + Office + AD?
Wieso fragt eigentlich nie jemand vorher einen qualifizierten Dienstleister? Wieso ist immer erst nachher Geld dafür Response-PR? Vorher machen alle bloß sinnloses BSI-Compliance-Theater.
Ja, das Response-Zeug ist PR. You heard me. Alles, was da zu erwarten ist, ist: "Die waren technisch aber SUPER FIT, die Angreifer!!1!" und "also gegen SOVIEL kriminelle Energie hätte man auch nichts machen können!1!!"
Dann noch ein paar belanglose Indizien, dass es DIE RUSSEN!1!! waren.
Und natürlich interne Erkenntnisse, die man nicht rausgibt. Dass auch Daten weggekommen sind, von deren die Kunden nicht wussten, dass man die hat. Daten, die man eigentlich schon längst hätte löschen wollen, aber da lag noch ein Backup rum. Nichts davon hilft bei der Abwehr der nächsten Ransomware-Iteration.
Dafür müsste man Windows, Office und AD abschaffen.
Aber mir glaubte ja nie jemand, wenn ich sagte, Code Signing sei Schlangenöl.
Also den Teil, der offensichtlich kriminell ist. Den wollen die Ransomware-as-a-Service-Anbieter lieber nicht selber machen.
Ja, äh, warte mal. Wenn du so einen RaaS-Dienst anbieten würdest, und deine Kunden wären alles Kriminelle, was hält dich dann eigentlich ab, die über den Tisch zu ziehen? Wieso würdest du die eingenommenen Lösegelder in der versprochenen Höhe mit deinen "Kunden" teilen?
Stellt sich raus: Diese Idee kam auch den RaaS-Leuten. :-)
Cyber criminals using a ransomware-as-a-service scheme have been spotted complaining that the group they rent the malware from could be using a hidden backdoor to grab ransom payments for themselves.Was für eine Gemeinheit!! Man findet aber auch kein vertrauenswürdiges Personal mehr!
Zensursoftware? Wie meinen?
Flagship phones sold in Europe by China's smartphone giant Xiaomi Corp (1810.HK) have a built-in ability to detect and censor terms such as "Free Tibet", "Long live Taiwan independence" or "democracy movement", Lithuania's state-run cybersecurity body said on Tuesday.Ja aber komm, das ist doch nicht angeschaltet in Europa, oder?!The capability in Xiaomi's Mi 10T 5G phone software had been turned off for the "European Union region", but can be turned on remotely at any time, the Defence Ministry's National Cyber Security Centre said in the report.Aber Fefe, haben die nicht völlig Recht? Ist das nicht ein Problem? Wieso schreibst du denn da Lacher des Tages dran?
Weil Apple und Google und Firefox und Chrome und Windows selbstredent dieselbe Befähigung haben. Nur shippen die das Zensurmodul nicht die ganze Zeit mit, wo es möglicherweise auffallen würde, sondern sie nennen es Updateschnittstelle. Sie nötigen uns außerdem alle, ständig auf Zuruf Updates einzuspielen. Und sie haben so verkackte beschissene Software, dass das in der Tat gar nicht sicher betreibbar ist, wenn man nicht alle Updates immer sofort einspielt.
Wo ist da also noch gleich der fundamentale Unterschied? Oh, gibt gar keinen? Na sowas!
Wir haben alle schon lange die Souveränität über unsere Geräte und Daten abgegeben. Damit haben wir uns ein bisschen Convenience gekauft, die wir jetzt gar nicht nutzen können, weil die immer neuen Security-Theater-Maßnahmen jede Convenience schon längst aufgefressen haben.
Wie? Was sagt ihr? Oh warte, ich kann gerade nicht. Ich muss kurz Pause machen. Windows will meinen Rechner nach Malware scannen. Mit einem frisch remote eingespielten Malware-Scanner.
Lasst euch mal bitte noch von dieser plumpen Nato-Propaganda verarschen.
Ein Markt, der überhaupt nur existiert, weil es Player gibt, die für Exploits zahlen, und die dann nicht schließen sondern sie ausnutzen.
Ein Markt, der aus genau einem Grunde existiert: Weil unseriöse Unrechtsregimes wie das unsrige ihre Geheimdienste und Polizeien ermächtigen, Sicherheitslücken auszunutzen um Trojaner zu installieren.
Diesen Markt gibt es, weil Länder wie wir Geld für Exploits zahlen. Ob wir die direkt kaufen oder über eine israelische Exploitwäscherei, das spielt an der Stelle keine Rolle.
Bei allem Gestikulieren über die schlimmen Israelis, die dieses Exploit-Kit zusammengestellt haben, dürft ihr bitte nicht aus den Augen verlieren, dass sie das tun, weil unethische Möchtegernediktaturen wie Deutschland es für legitim findet, Trojaner auf den Geräten ihrer Bürger zu installieren.
Ist es nicht. War es nie. Und wenn man es doch macht, dann passiert genau das, was ihr gerade schön beobachten könnt.
Bald ist Wahl. Das Mindeste, was ihr tun könnt, ist keiner Partei eure Stimme geben, die es jemals für ethisch vertretbar hielten, Schadsoftware gegen die eigenen Bürger einzusetzen.
Na also DAMIT konnte ja wohl NIEMAND rechnen!
Komm, lass uns schnell unserem Staat Trojanerbefugnisse geben. Was kann da schon passieren!1!!
Update: Primärquelle.
Und jetzt dieser Tweet, dass TCP/IP unsicher sei und Blockchain die Lösung. Das ist auf einem so fundamentalen Level selbstentlarvend strunzdämlich, das ist sogar den Klappspaten bei RSA aufgefallen und sie haben den Tweet schnell wieder gelöscht, als die gesamte Industrie über sie lachte.
New hotness: Malware verpfeift Raubkopierer und blockiert Piratebay-Zugriff.
Wat? (Danke, Joe)
Tracked as CVE-2021-1647, the vulnerability was described as a remote code execution (RCE) bug that allowed threat actors to execute code on vulnerable devices by tricking a user into opening a malicious document on a system where Defender is installed.War das nicht die Software, die man einsetzt, damit man geschützt ist und auf Dokumente draufklicken kann, weil das Schlangenöl die Malware rausfiltert?Frage für einen Freund.
Man stelle sich mal vor, eine Bank würde sich nach einem Bankraub hinstellen und sagen: Wir haben keine Hinweise gefunden, dass sich hier jemand bereichert hat. NA WAS DENN SONST?!
Habt ihr schon eine Warnung gekriegt? Von auch nur einer der betroffenen Organisationen? Ich nicht.
Solarwinds ist da natürlich nicht nur Täter sondern auch Komplize bei der Beweisvernichtung, weil sie erstmal ihre Customer-Liste weggemacht und bei Google angerufen und aus dem Cache dort haben löschen lassen. Nicht mal archive.org liefert.
Ich finde das einen wichtigen Datenpunkt dazu, ob irgendeine der Meldepflichten den Betroffenen in der Praxis irgendwas bringt, oder ob das alles mal wieder bloß Verarschung ist.
Update: Wenn man einen Tag zurückgeht und viel Geduld aufbringt, kriegt man von archive.org doch noch die Kundenliste. Hier ist sie:
Acxiom, Ameritrade, AT&T;, Bellsouth Telecommunications, Best Western Intl., Blue Cross Blue Shield, Booz Allen Hamilton, Boston Consulting, Cable & Wireless, Cablecom Media AG, Cablevision, CBS, Charter Communications, Cisco, CitiFinancial, City of Nashville, City of Tampa, Clemson University, Comcast Cable, Credit Suisse, Dow Chemical, EMC Corporation, Ericsson, Ernst and Young, Faurecia, Federal Express, Federal Reserve Bank, Fibercloud, Fiserv, Ford Motor Company, Foundstone, Gartner, Gates Foundation, General Dynamics, Gillette Deutschland GmbH, GTE, H&R; Block, Harvard University, Hertz Corporation, ING Direct, IntelSat, J.D. Byrider, Johns Hopkins University, Kennedy Space Center, Kodak, Korea Telecom, Leggett and Platt, Level 3 Communications, Liz Claiborne, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, National Park Service, NCR, NEC, Nestle, New York Power Authority, New York Times, Nielsen Media Research, Nortel, Perot Systems Japan, Phillips Petroleum, Pricewaterhouse Coopers, Procter & Gamble, Sabre, Saks, San Francisco Intl. Airport, Siemens, Smart City Networks, Smith Barney, Smithsonian Institute, Sparkasse Hagen, Sprint, St. John’s University, Staples, Subaru, Supervalu, Swisscom AG, Symantec, Telecom Italia, Telenor, Texaco, The CDC, The Economist, Time Warner Cable, U.S. Air Force, University of Alaska, University of Kansas, University of Oklahoma, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, Volvo, Williams Communications, Yahoo
Das ist aber nur eine partielle Liste. Da fehlen Kunden, die nicht genannt werden wollten.
Da gibt es drei wichtige Fragen.
Erstens: Wie kommt man rein?
Zweitens: Wie kommt man die Daten ran, ohne dass es auffällt?
Drittens: Wie kriegt man die Daten rausgeschickt, ohne dass es auffällt?
Gehen wir da doch mal systematisch ran. Wie kriegt man am besten Software in eine Firma? Wenn die Firma das selbst aufspielt! Und was spielen Firmen selber auf? Na Updates für ihre gekaufte Software! Ich erinnere mich dunkel, seinerzeit vor automatischen Updates als Angriffsvektor gewarnt zu haben, aber auf mich hat ja wie üblich niemand gehört. Anstatt Software so zu bauen, dass sie keine Updates braucht, hat die Industrie im Gegenteil auf möglichst viele Updates in möglichst kurzem Abstand optimiert.
Gut, also. Unser Geheimdienst sucht sich also eine Software, die die Firmen eh schon installiert haben, und hackt sich da in den Updatemechanismus rein.
Bleibt die Frage, wie die Malware dann an die Daten kommt? Am einfachsten ist es, wenn die Software, deren Updater wir übernommen haben, selber dafür da ist, an alle Daten ranzukommen. Die optimale Lösung wäre ein Schlangenöl, aber alles, das mit Monitoring zu tun hat, funktioniert auch prächtig. Am besten wäre die Monitoring-Komponente von einem Schlangenöl.
Gut, bleibt die Frage, wie man die Daten aus dem Netz des Opfers rauskriegt. Im Allgemeinen merken Leute nicht, wenn aus ihren Netzen Sachen auch in großem Volumen rausgeschickt werden, außer das Volumen ist so groß, dass der Rest der Anwendungen ruckelt oder Fehler wirft. Aber heutzutage ist so viel Cloud Computing, dass man selbst großvolumige Exfiltration problemlos einfach machen kann, solange die Gegenseite nach einem Clouddienst aussieht, am besten sowas wie Dropbox oder Sharepoint oder Onedrive oder so.
Warum erzähle ich das alles? Genau das ist passiert. Die Monitoring-Software heißt Solarwinds Orion. Über diese Software sind "die Russen" (nein, wirklich!) auch bei Fireeye reingekommen. Fireeye, wir erinnern uns, behauptet, sich mit Security auszukennen. Und setzt dann eine externe Monitoring-Software ein. Und merkt monatelang nicht, wie ihre Daten rausgetragen werden. Und gelten immer noch als Security-Experten!! Nicht nur das, die versuchen das gerade in eine PR-Op umzuwandeln, genau wie Heise damals, als sie von Emotet hopsgenommen wurden.
Was ich an der Stelle mal herausstellen will: Die Industrie setzt gerade in großem Stil auf Code Signing als Lösung gegen Malware. In diesem Fall war die Malware von Solarwinds signiert. Code Signing ist Schlangenöl!
Update: Übrigens, Spaß am Rande: Offenbar gab es da den einen oder anderen Insiderhandel in der Führungsriege von Solarwinds. Hey, von so einer Firma willst du doch deine Monitoring-Software kaufen!
Update: Solarwinds hatte ihre FTP-Zugangsdaten wohl in einem öffentlich Github-Repo veröffentlicht. Also mit so viel Niedertracht bei den Russen konnte ja wohl niemand rechnen. Gehen die öffentliche Github-Repositories durch und suchen nach Passwörtern! Haben die denn gar keine Scham!?!?
Da findet man manchmal tolle Bonmots. Hier ist ein schönes:
Intel® Hardware Shield trägt dazu bei, das Risiko des Eindringens von Schadcode dadurch zu minimieren, dass der Arbeitsspeicher im BIOS beim Ausführen von Software gesperrt wird, um zu verhindern, dass eingeschleuste Malware das Betriebssystem beeinträchtigt.Jahaa meine Damen und Herren! Wenn man Software wirklich sicher ausführen will, dann sperrt man einfach im BIOS den Arbeitsspeicher! Und dann kann eingeschleuste Malware das Betriebssystem nicht beeinträchtigen!
Tralafitti! *tusch.wav*
Für Nicht-Techies: Der Satz war fraktal falsch. Alles daran war falsch. Im BIOS sperrt man keinen Arbeitsspeicher, im BIOS sperrt man auch nichts "beim Ausführen von Software" sondern vor dem Starten des Betriebssystems. Zwischen Betriebssystem und Anwendungen gibt es bereits eine Schutzschicht. Malware kann nichts beeinträchtigen, Malware kann nur das Betriebssystem bitten, sich selbst kaputtzumachen. Wenn das Betriebssystem die Malware irgendwas beeinträchtigen lässt, hat es seinen Job nicht gemacht. Das ist genau der eine Job, den das Betriebssystem hat. Dafür sorgen, dass das nicht passiert.
Das haben ein paar Forscher herausgefunden. Die finden ja alles raus, diese Forscher. Alles finden die raus!
Ich bin mir sicher, wir werden jetzt genau das beobachten, was wir immer beobachten: Lauter Vollidioten in großen Organisationen patchen das nicht, dann installiert sich darüber Ransomware und Geheimdienst-Malware.
Und dann müssen wir uns in der Presse wieder vollsülzen lassen, was für fiese böse gemeine Angreifer es da draußen doch gibt.
Was mich daran am meisten ärgert: Wir sind das Land mit den Winterreifen.
Aktuell ist die Software AG von Ransomware runtergefahren. Und natürlich versuchen die das genau so zu framen wie alle anderen von fieser KI-Malware "Angegriffenen":
Am 3. Oktober sei es zu dem Angriff mit Schadsoftware gekommen, teilte das Unternehmen mit.Aha. Soso. Immerhin ist ihnen klar, dass das ihre Schuld ist, sonst würden sie das nicht im Passiv formulieren sondern im Aktiv. "Verbrecher haben uns angegriffen" oder so. Ja so ist das halt, wenn man die Infrastruktur soweit runterkommen lässt, dass sich an der Wand Schimmel bilden kann. Dann hat man irgendwann Schimmel an der Wand. Ein fieser Schimmelangriff hat bei der Software-AG die ansonsten tadellos gepflegte Wand attackiert!1!!
Oh und als die Angreifer merkten, wie weit bei der Software AG die Tür offen stand, haben sie schnell noch an Daten rausgetragen was sie konnten. Auch merkt man langsam, dass die Lösegeldforderungen sich dem Marktwert anpassen. Jetzt wo die "Angriffe" soweit automatisiert und gestreamlined sind, dass man da nur noch einen Knopf drücken muss und die Daten sprudeln von überall rein. Angeblich wollen die über 20 Mio Dollar haben.
Aber Fefe, wieso kloppst du denn so auf der Software AG herum? Woher weißt du denn, dass die wirklich ihre Infrastruktur herunterkommen ließen? Vielleicht waren die ja unschuldig!!1!
Nun, … Exhibit A: Kurze Durchsage des CTO der Software AG im Jahre 2015:
Dwelling on Security Concerns Can Stifle Innovation, CTO SaysJa aber echt mal! Dieser ganze Security-Scheiß hält doch nur auf bei den ganzen Innovationen, für die die Software AG berühmt ist! All die hochinnovativen Produkte, die die so haben! Ihr wisst schon! Sowas wie… äh… hey was machen die eigentlich? Früher haben die mal eine Datenbank namens Adabas, die dann eines Tages SAP kaufte, um das Überleben der Software zu sichern. Mit der Kohle hat sich die Software AG dann umorientiert und macht jetzt "Enterprise Integration" und "Internet of Things". Genau die Felder, auf denen man Security offensichtlich nicht braucht. Das bremst nur.
Der Lacher ist auch, wieso die überhaupt auf Security kamen in dem Gespräch. Das lag daran, dass die Software AG eine Innovations-Messe (nein, wirklich!) in Las Vegas (nein, wirklich!!) gemacht hat, und da in ihrem PR-Sprechblasenwald Security so häufig vorkam wie im alten Witz, das S in IoT stünde für Security. Daraufhin fragte ein Journalist und der CTO machte dann seinem Ärger Luft. Wenn man immer nur auf Security achten würde, hätten wir weder Autos noch Flugzeuge.
An der Stelle hab ich mich ganz doll fremdgeschämt denn was da aufhielt war Safety nicht Security. Aber hey, wieso würde sich ein CTO mit so Minutiae auskennen. Der ist Manager, der steht über den Details.
Wenn der CTO Security (Sicherheit gegen Angreifer) und Safety (Sicherheit gegen Unfälle) nicht auseinanderhalten kann, dann haben deren Produkte wahrscheinlich weder das eine noch das andere, steht zu befürchten. *grusel*
Update: Die Adabas-Story ist etwas komplexer als ich dachte. Es gibt Adabas und Adabas D. Adabas gehört nach wie vor der Software AG aber ist sogar noch Pre-SQL. Es gibt auch ein Adabas D, das basiert auf einem Zukauf. Das hat SAP gerettet, war mein Stand, aber das war anscheinend auch nur eine Lizenzierung und gehört auch noch der Software AG. SAP hat da offenbar bloß eine sehr weitgehende Lizenz erworben. SAP hat ihre Version MaxDB genannt.
Damit keine Malware auf Linux-Servern landet, sollten Admins die eigentlich schützende Software ServerProtect for Linux (SPLX) von Trend Micro auf den aktuellen Stand bringen. Das von der Lücke ausgehende Risiko gilt als "kritisch".Hat zufällig jemand eine Statistik greifbar, wie viel Linux-Malware Trend Micro so "erkennt"? Und in ihrer Firmengeschichte insgesamt abgewehrt hat? Ist jemandem ein einziger Fall bekannt?
Sprecht mir nach: Antiviren sind Schlangenöl!
Abonnenten meldeten, dass AVG und Avast die taz vom 14.8. als gefährlich einstufen, siehe Virustotal.Die Witze schreiben sich praktisch von selbst!Auf Nachfrage hat Avast bestätigt, dass das kein false positive ist ("Our virus specialists have been working on this problem and they informed me that this detection is correct.").
Nun habe ich die Datei mal einer bisection unterzogen und es liegt an der Seite 15.
Dort ist ein Link auf http://antifa.de/ im Text.
Und wenn ich jetzt mit Libreoffice ein Dokument mache, wo nur ein paar Worte mit dem Link zu http://antifa.de/ drin sind, dann schlagen AVG und Avast auch darauf an.
Mir fehlen die Worte.
Kauft mehr Schlangenöl! Wegen der Sicherheit!!
Update: Wartet, geht noch weiter!
Achso, und dass von der entsprechenden Komponente des Virenscanners deswegen der ganze Server dl.taz.de als Malwareserver ("infiziert mit URL:blacklist") eingestuft und Verbindungen dahin unterbrochen werden, versteht sich von selbst.
Epic Games' Unreal Engine is critical technology for numerous game creators including Microsoft.Für die ist es auch kritisch, in den App Stores zu publizieren. Die werden also gerade zwischen den Fronten der geldgierigen Milliardäre aufgerieben.Es geht gerade das Narrativ um, die 30% seien ja voll das Schnäppchen. Darauf will ich noch kurz eingeben. Einer schrieb mir, Apple zahle ja die Umsatz/Mehrwertsteuer, das sei der Großteil der 30%. Das ist meines Wissens Bullshit. Das andere Argument war, dass man ja im Supermarkt Aufladekarten kaufen kann, die regelmäßig weniger kosten als der Wert der Aufladung, und dieser Rabatt kommt dann halt aus den 30%. Die Aussage ist valide, aber hat ein großes ABER dran. Komme ich gleich zu.
Dann kam noch das Argument, die Payment-Mafia greife ja auch immer kräftig zu, und im Vergleich dazu seien die 30% kein so großes Ding. Ich habe noch keinen App Store betrieben, aber hier ist mein Verständnis der Sachlage. Man hat beim Bezahlen Fixkosten pro Transaktion, sowas wie 5 bis 10 Cent pro Transaktion (das ist aber ein guter Deal für wichtige Bestandskunden, sowas wie der App Store). Dazu kommen je nach Kreditkarte 1-3% des Transaktionswertes. Zum Vergleich: Paypal sagt an, dass sie 35 Cent pro Transaktion plus 2,49% des Transaktionswertes haben wollen (geht wohl runter bis 1,49% bei Großabnehmern).
Der Punkt ist: Wenn die Leute für jede 99-Cent-App einzeln per Kreditkarte zahlen, frisst dir der Payment-Provider in der Tat die Haare vom Kopf und die 30% bei Apple sehen nicht so schlecht aus.
Da kann sich der App Store Provider gegen wehren, indem er Konten führt und dich größere Beträge einzahlen lässt und dann per Dark UI dafür sorgt, dass man nicht weniger als 10 Euro auf einmal einzahlt. Was dich als App Store umbringt sind ja nicht die Prozente sondern die Fixkosten pro Transaktion. Zusätzlich kann der App Store Betreiber auch einen Deal mit Supermärkten machen und dann an der Kasse 10-Euro-Aufladekarten verkaufen. Dann hat er das Risiko für Zahlbetrug an den Supermarkt weitergereicht und zahlt unter dem Strich sowas wie 5% glaube ich (habe da aber keine belastbaren Zahlen gerade).
Und jetzt kommen wir zu dem angekündigten ABER von eben: Supermarkt ist mit Rabatt immer noch günstiger als Einzelpayment per Paypal. Insofern ist das Argument zwar technisch richtig aber nicht weiterhelfend.
Mein Punkt ist: Wenn du Dinge verkaufen und dafür bezahlt werden willst, werden sich immer Dutzende von Leuten auf dem Weg zwischen Kunde und dir an deiner Transaktion zu bereichern versuchen. Das ist allerdings kein App-Store-Problem. Wenn es denen gelingt, Zahlungen zu aggregieren (der Supermarkt z.B. wird dir nicht jeden Kauf einzeln überweisen sondern einmal pro Woche oder Monat oder so), sinken für die die Kosten. Wenn also Apple selbst ins Zahlungsbusiness einsteigt, dann u.a. um für ihre App-Store-Bestellungen die Mittelsmänner rauszuschmeißen. Glaubt mal gar nicht, dass die 30% in einer realistischen Relation zu deren Payment-Kosten stehen.
Aber Fefe, was ist denn mit Betrug? Ja, Betrug ist immer Scheiße, aber moderne Fraud Detection hat die Eintrittswahrscheinlich massiv gesenkt, nicht zuletzt durch Kundengängelung. So kann ich auf Geschäftsreisen regelmäßig mit meiner europäischen Kreditkarte nichts online bestellen im Zielland. Und die Aufladekarten-im-Supermarkt-Nummer senkt das Fraud-Risiko auf Null für den Kartenherausgeber. Für Visa habe ich Zahlen für 2014, da war die Fraud-to-Sales-Ratio 0,045%.
Bleibt noch der Rest der Ausgaben, die das Betreiben so eines App Stores beinhaltet. Technische Infrastruktur, Kundensupport, Qualitätssicherung, etc. Ja, das kostet alles Geld. Aber nicht 30% der Einnahmen. Und, mit Verlaub, so viel Malware wie in den Stores immer wieder durchrutscht, glaube ich denen ihr Blablah von wegen Qualitätssicherung nicht. Was die prüden Amis wirklich wegqualitätssichern sind Pornos. Alles andere kommt regelmäßig durch. Bei Android kann man die Suchfunktion praktisch nicht benutzen, weil du zu jedem bekannten App-Namen ein paar Dutzend Malware-Betrüger unter dem selben Namen als Ergebnis kriegst.
Mein Fazit bleibt daher: 30% sind Freudenhauspreise, das ist elende Abzocke. Auf der anderen Seite ist es auch eine Quersubvention des Aufwandes für die Klein-Apps durch die Groß-Apps. Dass dann die Groß-App-Anbieter irgendwann rebellieren, das schockiert hoffentlich niemanden.
Wenn es um Corona ginge, hätte man da auch einfach einen entwickeln lassen können und alle anderen nehmen das dann. Ist ja bei Open Source auch lizenztechnisch kein Problem.
Ich als ewiger Optimist hoffe aber trotzdem, dass die App versehentlich auch gegen Covid-19 hilft. Von der Akzeptanz her sieht die App ja gar nicht mal so schlecht aus mit inzwischen angeblich knapp 10 Mio Installationen. Und das trotz aktueller Meldungen wie dieser, dass die Geheimdienste jetzt endlich Staatstrojaner-Befugnis bekommen sollen. Das würde ja eher dagegen sprechen, irgendwelchen Apps irgendwelcher Behörden zu vertrauen. Merken die eigentlich nicht, wie viel Vertrauen sie jetzt schon verloren haben?!
Update: Einen Punkt würde ich an dieser Stelle noch gerne machen. Open Source ist schön und gut, aber nicht hinreichend. Wer sagt denn, dass die App, die man aus dem App Store installiert kriegt, auch aus dem Quellcode kommt? Eigentlich müsst jeder von euch selber aus dem offenen Quellcode die App bauen und auf sein Telefon spielen, was aber natürlich Google und Apple nicht zulassen, weil die ja gerne ihr parasitäres App-Store-Schutzgeldgeschäftsmodell ("Schöne App haben Sie da! Wäre ja schade, wenn die Leute die gar nicht installieren können! Geben Sie uns mal 30% Ihres Umsatzes!") weiter fahren möchten. Und das geht ja nicht, wenn sich die Leute selber Apps installieren dürfen! Wieso hat das eigentlich das Kartellamt noch nicht unterbunden?
Bliebe noch der Weg, dass ihr die App selber baut und dann vergleicht, dass die App aus dem App Store identisch ist. Doch das ist technisch kein Selbstläufer und auch da legen Google und Apple absichtlich Steine in den Weg.
Tja und wenn jetzt der Staat kommt und selber ein Schutzgeldgeschäftsmodell gegen Google und Apple fährt ("Schönen App store haben Sie da! Wäre ja schade, wenn der in unserem Land verboten wäre! Hier, liefern Sie mal diese Malware aus!"), dann geht das ja am Ende auch immer alles zu Lasten des Bürgers. Für uns Bürger kämpft ja leider niemand.
Die Lage ist nicht völlig aussichtslos. Man kann z.B. sehen, was die App alles können will. Da hat leider Google auf ganzer Linie verkackt und auf älteren Android-Versionen (älter als 9 habe ich gehört) kommt da "will Location-Daten haben". Das hilft also nicht, im bösartige Profilbildung zu verhindern.
Bleibt noch die Möglichkeit, dass man stichprobenhaft die App aus dem App Store holt und von Experten vergleichen lässt. Damit sind wir aber auch wieder nicht viel weiter, denn wir haben nur "du musst Google/dem Staat vertrauen" gegen "du musst dem CCC-Experten vertrauen" ausgetauscht. So ganz kriegt man das Vertrauen Müssen nicht weg, denn die Tools, mit denen man solche Analysen macht und Apps baut, die kommen ja auch von irgendjemandem, dem man vertrauen muss. Aber schön ist das nicht.
Bleibt noch die Frage, ob die Geheimdienste vielleicht Google zwingen, ihre Hintertüren nur gezielt auszurollen. Damit wären Stichproblem umgangen, außer einer der Stichproben-Downloader ist auf der Liste der Geheimdienste. Ist alles nicht so einfach.
Update: Oh und dann gibt es natürlich noch das Problem (jetzt vielleicht nicht bei der Corona-App aber bei anderen), dass die App einmal pro Woche ein Update erfährt. Da wird das Fenster für Aussagen über die Vertrauenswürdigkeit einer bestimmten Version sehr schnell sehr klein.
Der Fall hat ein paar Besonderheiten.
Brett Callow, a threat analyst at security firm Emsisoft, said a sample of the file-encrypting malware was uploaded to VirusTotal, a malware analysis service, referencing an internal Honda subdomain, mds.honda.com.Da wäre mein Rechtsempfinden gewesen, dass man diese Art von Ansage über Samples von Virustotal nicht macht. Da müsste es so eine Art ärztliche Schweigepflicht geben. Es ist ja im Interesse aller, dass da weiterhin Samples hochgeladen werden. Der Fluss könnte abbrechen, wenn Firmen befürchten müssen, dann ihre dreckige Wäsche in der Presse ausgerollt zu bekommen.Aber gut, zu dieser Domain …
“The ransomware will only encrypt files on systems capable of resolving this domain but, as the domain does not exist on the clear net, most systems would not be able to resolve it. mds.honda.com may well exist on the internal nameserver used by Honda’s intranet, so this is a fairly solid indicator that Honda was indeed hit by Snake,” said Callow.Das ist vor allem ein Indikator dafür, dass die Malware extra für den Angriff auf Honda customized wurde, und zwar von jemandem mit Insiderwissen über deren Netzwerkstruktur.
Aufgrund der noch unklaren Gesamtsituation empfiehlt IT-Services, mindestens alle vernetzten Windows-basierten Server-Systeme auch in den Fakultäten herunterzufahren.Wie, warte, Windows?
Dadurch haben alle RUB-Mitglieder zum Beispiel keinen Zugriff auf das Mailprogramm OutlookOutlook?
Hätte uns doch nur jemand gewarnt, dass man sich mit Windows + AD + Outlook Malware einfangen kann! Hey, ich hab eine Idee. Wir sollten mal einen Studiengang IT-Security aufbauen. Oh warte, haben wir ja schon! Oh, und die sind gar nicht betroffen von dem Shutdown? Na sowas! Hey, vielleicht hätten wir vorher mal auf die hören sollen?
*fazialpalmier* (Danke, Frank)
Ich habe keine Details, aber das kommt leider häufiger vor, dass Firmen das Security-Modell "ohne Quellcode findet eh keiner die Lücken" findet. Nicht nur kann der Quellcode leaken, es stimmt auch nicht mal, dass man den Quellcode braucht, um die Lücken zu finden. Ist nur weniger aufwendig mit Quellcode.
Der Name ist eine Anspielung auf die OffensiveCon, ebenfalls in Berlin, in ein paar Tagen. Dort treffen sich so Exploit-Schreiber und Malware-Leute und diskutieren Angriffsmethoden und -vektoren. Mich stört das schon länger, dass die Regierungen alle in Angriff investieren und niemand macht Verteidigung. Daher freute ich mich, dass jemand eine Gegen-Con macht.
Meine Erwartung war: Fehlerminimierende Softwarearchitektur, resilienzsteigernde Netzwerkarchitektur, vorbeugender Coding-Stil, sowas.
Tatsächlich war das aber ein Treffen von der AG Kritis. Kritis ist der Name für das BSI/BBK-Projekt zum Schutz kritischer Infrastrukturen, also Strom, Wasser, Krankenhäuser, etc. Ich habe mich da nie für interessiert, weil das aus meiner Sicht voll am Thema vorbeischießt. Die reden da überhaupt nicht darüber, wie wir eine sichere Infrastruktur aufbauen können, oder wie wir von Windows+Outlook+Active Directory wegkommen, sondern die optimieren da, wie schnell man nach einem Emotet-Befall neu aufsetzen kann. Den Emotet-Befall selbst verhindert niemand. Der ist bei dem Zustand der Infrastruktur so sicher wie das Amen in der Kirche.
Aus meiner Sicht ist damit das ganze Projekt nicht interessant. Versteht mich nicht falsch: Man kann da prima Geld verdienen. Man kann Installationen zertifizieren, man kann Audits machen, ob alle Punkte auf der Checkliste bearbeitet wurden, … aber nichts davon finde ich auch nur das geringste bisschen attraktiv. Nicht nur ist das nicht attraktiv, es hilft auch niemandem. Meine Code Audits haben zumindest einen nachweisbaren kurzfristigen Nutzen in die richtige Richtung. Das, was wir aber mal wirklich machen müssten, das macht niemand. So war dann auch eine meiner ersten Wortmeldungen aus dem Publikum nach dem Vortrag des BSI-MIRT (Mobile Incident Response Einheit). Ich fragte den BSI-Menschen, da ja Windows+AD+Outlook der Einfallsvektor für Emotet sei, ob sie da mit gutem Vorbild vorangehen und was anderes einsetzen. Er verweigerte lieber die Aussage, und meinte dann in der Pause so zu mir: Wir haben auch eine Menge Linux-Rechner!!
Ich bin inzwischen der Meinung, dass das nicht nur nicht hilfreich ist, sondern dass das aktiv schädlich ist, wenn man in Incident Response investiert. Ich kenne das von Software-Herstellern. Wenn der Daemon sich automatisch restartet nach Crashes, dann ist der Leidensdruck weg, was gegen die Crashes zu tun. Dann lebt man halt mit den Crashes. Ich habe das auch bei der Softwareentwicklung schon beobachtet, dass mir Entwickler erklärten, es gäbe da ja eine Security-Abteilung, die für sowas zuständig sei, daher müsse man sich hier jetzt nicht so stressen deswegen.
Die zentrale Verlautbarung auf der Konferenz war aber die Vorstellung eines neuen Cyberwehr-Konzeptes. Weil es schon ein Cyberwehr-Konzept gab, und das voll verkackt wurde und gescheitert ist, heißt das jetzt Cyber-Hilfs-Werk, als Wortspiel auf das THW. Die Idee ist, dass man bei einer "Großschadenslage" (ein Konzept aus dem analogen Katastrophenschutz) erste Hilfe leistet, damit die Versorgung der Bevölkerung schnell wieder anläuft. Wenn jemand unseren Strom wegcybert, dann könnte das Menschenleben kosten. Das ist also schon quasi unterlassene Hilfeleistung, wenn ich als Nerd dann nicht freiwillig und ehrenamtlich mithelfe.
Sorry, aber das sehe ich überhaupt nicht so. Im Gegenteil. Das setzt die völlig falschen Anreize. Wenn die Stromkonzerne sich darauf verlassen können, dass ich ihnen im DurchNotfall den Arsch abwische, wieso sollten die dann in Vorbeugung investieren?
Ja aber Fefe, sagten die mir, das ist doch ein Großschadensfall! Der ist eh schon astronomisch teuer! Dann müssen wir halt dafür sorgen, dass das nicht billiger wird durch unseren ehrenamtlichen Einsatz!
Sorry, überzeugt mich auch nicht. Die Unternehmen spekulieren offensichtlich darauf, wenn wir schon die völlig überflüssigen und volkswirtschaftlich kontraproduktiven Banken mit Milliardenbailouts retten, und da war noch nicht mal ein Angreifer am Start sondern die haben sich mit ihrem Gezocke selber versenkt, dann ist ja wohl aus Sicht der Stromversorger völlig klar, dass der Staat bei einer Großschadenslage einspringen würde. Ich erinnere daran, dass die Bahn ihr Schienennetz auf Verschleiß fährt und nicht ausbessert, weil bei akuter Einsturzgefahr von Brücken der Staat zahlt und nicht die Bahn. Glaubt mal nicht für eine Sekunde, dass die Stromkonzerne auch nur einen Euro in Vorsorge investieren, wenn sie sich den auch in die Tasche stecken oder an die Shareholder auszahlen könnten.
Ich fühle mich in meiner Position bestätigt, wenn ich sehe, dass Vater Staat das Konzept der Cyberwehr großartig findet und voll an Bord ist. Vater Staat ist nämlich nicht so doof wie man immer glaubt. Das ist ja schon länger meine These, dass so viel Verkacken nicht nur mit Inkompetenz erklärbar ist. Das ist Strategie. Der Staat sieht das offensichtlich genau so wie ich und würde gerne die Kosten für die Reparatur an die Ehrenamtlichen externalisieren.
Als der wohlmeinende Vortragende dann noch erklärte, dass man aus versicherungstechnischen Gründen nur auf Anordnung (!!) des Innenministeriums (!!!!) aktiv würde, weil man dann ein Verwaltungshelfer sei und gegen Unfälle auf dem Weg zum Einsatz versichert sei, da knallten bei mir die letzten Sicherungen auch noch durch. GANZ SICHER werde ich NIEMALS für das Innenministerium irgendwas tun. Das sind die Leute, die mir aktuell Trojaner auf die Geräte spielen wollen. Das sind die Leute, die gegen meine Proteste Videoüberwachung ausgerollt haben, obwohl klar war, dass das nichts bringt und meine Grundrechte verletzt. Das sind die mit dem großen Lauschangriff. Mit der Funkzellenauswertung. Das sind die mit dem Hackertoolverbot. DIE LETZTEN, auf deren Ruf ich zur Mithilfe bereit bin, sind die vom Innenministerium. Das geht gar nicht. Absoluter No-Go.
Mir tut das echt in der Seele weh, denn in der Szene sind viele liebe kompetente hilfsbereite Nerds, die einfach nur Menschenleben retten wollen. Aber ich glaube, dass das nie besser wird, wenn wir nicht mal einen so richtig fetten Großschadensfall haben und denen ihre Ministerien niederbrennen, weil keiner vorgesorgt hat. Je länger dann alles down ist, desto besser. Damit das auch mal Konsequenzen hat. Mir schwebt da so ein Fight-Club-Szenario vor.
Aber genug von der Cyberwehr. Es gab auch noch andere Vorträge. Zum Beispiel einen über die völkerrechtliche Bewertung von Hackback. Nun habe ich mich ja schon zu Hackback geäußert, aber nicht zu rechtlichen Fragen. Das war Absicht. Ich halte die rechtliche Debatte für kontraproduktiv. Auf der anderen Seite sitzen schließlich die Leute, die Gesetze machen. Wenn du denen nachweist, dass ihr Scheiß gegen die Gesetze verstößt, dann machen die halt neue Gesetze. Das Völkerrecht kann ich nun überhaupt nicht ernst nehmen. Das ist Freiwilligenrecht. Für mich war das Interessanteste an dem Vortrag daher nicht der Inhalt, sondern wie die Vortragende es vortrug. Mit dem Brustton der Überzeugung kamen da so Aussagen wie: Das wäre dann klar völkerrechtswidrig. Äh, mal in den Irak geguckt? Wie war das mit unserem NATO-Angriffskrieg in Jugoslawien damals? Auch alles klar völkerrechtswidrig. Hält genau niemanden auf. Die halten nicht mal inne und denken nochmal drüber nach. Die Vortragende dann so: Das hat der Internationale Gerichtshof so festgestellt! Ja, äh, und? Erinnert mich an eine Aktionskarte bei dem Brettspiel Junta. "Studenten protestieren gegen Menschenrechtsverletzungen. Keine Auswirkungen." Daher habe ich mich in meinen Hackback-Überlegungen darauf konzentriert, dass das auch inhaltlich völlig bekloppt ist und garantiert nicht weiterhelfen wird. Ein weiterer Referenzpunkt in dem Vortrag war die Martensklausel. Googelt das mal selbst und überlegt euch, ob ihr das ernst nehmen würdet als Rechtsnorm. Und wer da eurer Meinung nach für die Durchsetzung zuständig ist.
So bin ich am Ende in der paradoxen Lage, dass das eine wunderschöne Konferenz mit kompetenten Vortragenden und netten Unterhaltungen war, aber ich inhaltlich nichts gelernt habe. Ich habe schon Dinge gelernt, aber über die Leute, nicht über die Inhalte.
Hmm. So kann ich euch jetzt nicht gehen lassen. Lasst uns mal ein Szenario entwickeln, in dem das schon alles gut ist. Mir fällt nur eins ein: Strukturelle Inkompetenz. Strukturelle Inkompetenz ist, wenn du dich freiwillig bereiterklärst, in der WG das Geschirr zu waschen, und das dann so unzureichend wäschst, dass sie dich nie wieder fragen werden. Möglicherweise ist das Cyberhilfswerk auch sowas. Wir reden jetzt jahrelang darüber, und dann machen wir einen Plan, und der Plan rechnet dann mal aus, wieviel das im Zweifelsfall hilft, und kommt zum Ergebnis: Gar nicht. Vielleicht merken die dann, dass sie lieber vorbeugen sollten. Angesichts der praktisch reinen Symbolpolitik in Digitalfragen halte ich das für eine gefährliche Strategie. In allen bisherigen Fällen hat der Staat dann trotzdem die offensichtlich und mit Ansage ungenügende schlechte Idee umgesetzt, und dann danach schockiert festgestellt, dass es nicht geholfen hat. Warum sollte das diesmal anders laufen?
Übrigens, am Rande: In Israel fährt der Staat jetzt das volle Arsch-Abwischen-Programm und telefoniert proaktiv Firmen hinterher, sie sollen mal patchen. Wie in der Seniorenresidenz. Hast du heute schon deine Pillen genommen? Was für ein Menschenbild! Meine Erfahrung ist außerdem: Wenn du Menschen wie Kleinkinder oder Alzheimerpatienten behandelst, dann werden die sich auch wie Kleinkinder oder Alzheimerpatienten verhalten.
Update: Was wäre denn mein Vorschlag? Strafen. Hohe Strafen. Und nicht warnen sondern direkt die Firma schließen. Das muss richtig doll wehtun, wenn du die Infrastruktur runterkommen lässt, weil du glaubst, die Kosten externalisieren zu können. RICHTIG fucking schmerzhaft muss das sein. So mit rückwirkender Pfändung von vorher ausgezahlten Vorstands-Gehältern und so. Und insbesondere würde ich das für den Aufsichtsrat schmerzhaft machen, wenn sie ihrer Aufsichtspflicht nicht nachkommen.
Das ist eigentlich auch Teil von Kritis übrigens. Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko. Nur hat das im Moment halt keinerlei Auswirkungen, wenn das ganze Ding dann hochgeht. Das müssen wir ändern.
Update: Einer der anderen Veranstalter weist darauf hin, dass nur 3/5 bei AG Kritis sind, aber 5/5 in der c-base. Die akkuratere Darstellung wäre also, dass das eine c-base-Veranstaltung war, auch wenn das Programm am Ende Kritis-lastig aussah :-)
Update: Leserbrief dazu:
in Deinem Kritis-Rant schreibst Du: "Wenn der Auditor sagt: Das hier ist ein hohes Risiko. Dann kann die Firma sagen: Wir akzeptieren das Risiko."
Das ist i.A. richtig, aber eben nicht bei Kritis-Audits. Dort gilt vielmehr: "Der B3S stellt klar, dass bzgl. relevanter Risiken für die kritische Dienstleistung eine eigenständige dauerhafte Risikoakzeptanz durch den Betreiber in der Regel keine zulässige Option im Sinne des BSIG ist" (Orientierungshilfe zu Inhalten und Anforderungen an branchenspezifische Sicherheitsstandards (B3S) gemäß § 8a (2) BSIG, Abschnitt 4.3.2, Quelle)Ob das am Ende einen großen Unterschied macht, sei mal dahingestellt ...
Interne Daten wurden geklaut und "ein kompletter Neuaufbau der IT-Infrastruktur wird […] angeraten", heißt es im forensischen Bericht zum Emotet-Befall.Ich möchte an dieser Stelle darauf hinweisen, dass das nicht an Emotet liegt. Wenn eine IT von Emotet befallen werden kann, dann war sie schon vorher ein Totalschaden.
Oh und noch ein Hinweis sei erlaubt: Die haben Schlangenöl von McAfee am Start gehabt. Warte mal, war die Existenzberechtigung von Schlangenöl nicht, dass es gegen Malwarebefall hilft? Hätte uns doch nur jemand gewarnt!!1!
Dazu zählt das Versagen der Endpoint Protection Lösung von McAfee, fehlende Filter und Netzwerksegmentierung, lokale Administratoren und mangelnde Log-Dateien.Na? Erkennt sich jemand wieder?
Filter und Netzwerksegmentierung sind nett, aber verhindern natürlich einen Malwarebefall nicht. Das ist eine Nebelkerze. Und Logdateien hätten auch nicht geholfen, denn die Eindringlinge haben erstmal das Windows Event Log geputzt. Da waren also Logs. Sie waren nur leer.
Das eigentliche Problem ist ein anderes. Windows. Outlook. Active Directory. Das ist die tödliche Kombination. Das Kammergericht hat nochmal obendrauf auf voller Front versagt, indem sie lokale Admins zugelassen haben. Das würde ich unter Windows außerhalb von Development-VMs und anderen Testumgebungen als grobe Fahrlässigkeit einordnen, wenn mich jemand fragen würde.
Mich hätte noch deren Patchmanagement interessiert, auch wenn das für den Emotet-Befall vermutlich den Kohl nicht fett gemacht hätte.
Oh und ich hätte gerne gewusst, ob das für irgendeinen der IT-Zuständigen jetzt Konsequenzen hat. Wenn sie das nicht komplett outgesourced haben, und dann *schulterzuck* kann man ja eh nichts machen.
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric serversIch finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Das ist bemerkenswert, denn Go erzeugt (im Vergleich) riesige Binaries. Dafür haben die dann keine Abhängigkeiten auf dem System. Das wird der Grund für Go gewesen sein.
Für Malware eignet sich Go aber eher weniger, hätte ich gedacht, denn die Binaries kann man am Ende nicht strippen, d.h. die Malware-Analyse hat dann Rückenwind, weil die Symbole noch alle drin sind.
Man findet halt kein anständiges Personal mehr, sage ich euch. Wir haben damals unsere Bits noch einzeln eingegeben, mit Pinzette auf Dip-Schaltern!1!! Mit Gegenwind!!1!
Update: Die Details sind jetzt draußen. Offenbar prüft Windows X.509-Zertifikatsketten nicht ordentlich, wenn die Elliptische Kurven verwenden. Elliptische Kurven sind bei X.509 schon recht lange spezifiziert, aber werden m.W. bisher noch eher wenig tatsächlich verwendet. Das liegt vor allem daran, dass die CAs für ihre Root-Zertifikate relativ lange Lebensdauern vergeben. Die NSA, die diesen Bug gefunden hat, ist allerdings fast von Anfang an ein Proponent von ECC, insofern verwundert es nicht, dass sie diesen Bug gemeldet haben. Ob dieser Bug jetzt auch greift, wenn nur ein Teil der Zertifikatskette ECC ist, weiß ich nicht. Das ist für Krypto ein ziemlicher Totalschaden, insofern spielt alle schnell den Fix ein. Konkrete Auswirkungen wären übernehmbare TLS-Verbindungen und fälschlich als signiert erkannte Malware.
New hotness: Das sind die Geräte, die die US-Regierung an Einkommensschwache verteilt.
Und dann machen sie noch POP3 für die ehrenamtlichen Mitglieder dicht, steht da. Ob der echt ist oder nicht kann ich nicht einschätzen, aber er wirkt jetzt nicht offensichtlich gefälscht.
- E-Mail-Anhänge außer *.txt, *.pdf, *.jpg, *.png werden gesperrt.
- Der Zugang zum Internet bleibt eingeschränkt […]
- Der Zugriff auf den zentralen Fileserver der THW-Leitung […] wird gesperrt
Der Leser merkt an, dass das THW "leider Uralt-Gammel-Ranz-Systeme" betreibe. Ehrlich gesagt ist mir keine Organisation bekannt, bei der das nicht so wäre. :-)
Das Bezirksamt Berlin-Mitte sucht zum 1. Januar ganz dringend akut einen Notfallbeauftragten (die Details fehlen aber es klingt nach Malware-Aufräumen).
Einige Behörden wollen nicht warten, bis ihre Daten über Malware leaken, und leaken die Daten lieber schnell selbst zu Ebay. Schlauer Schachzug! Wenn die eh schon jeder hat, dann sind sie nichts mehr wert und man kann mit ihnen nicht mehr erpressen! Außerdem: Dezentrales Backup! Smart!!1!
Update: Mehrere Leser bestätigen.
Wird hier ernsthaft das ganze Land auf Prinzip Hoffnung gefahren? Floriansprinzip?
Ach komm, Fefe, mach nicht so viel Wind. Da schmieren wir drei Lagen Schlangenöl drüber, und dann machen wir weiter mit Windows und Office. Weil das so alternativlos ist!
Und schau mal, wenn das SO VIELE betriff, dann ist ja niemand wirklich Schuld! Dann ist "kein Schutz" halt der Industriestandard. Daher steht in Gesetzen auch immer statt konkreter Maßnahmen "Stand der Technik". Der Stand der Technik ist dann in Deutschland halt "unser Arsch hängt blank im Netz".
Vielleicht ist es am besten, wenn die Behörden einfach offline bleiben. Einfach nicht wieder anschalten. Ihr könnt ja offensichtlich eh nicht damit umgehen.
Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) wurden mehrere bestätigte Emotet-Infektionen in Behörden der Bundesverwaltung gemeldet. Die dabei kopierten Daten nutzen die unbekannten Angreifer derzeit dafür, um betrügerische E-Mails mit gefährlichen Dateianhängen oder Links im Namen mehrerer Bundesbehörden zu verschicken.
Aber ihr habt euch nicht getraut, weil ihr da keinen Windows Defender habt, um euch für der bösen Malware zu schützen?
Dann habe ich großartige Nachrichten für euch: Microsoft portiert ihr Schlangenöl gerade nach Linux und nennt es "Microsoft Defender".
Endlich wird Linux Enterprise-fähig und telefoniert auch mal industrie-standard-konform ständig nach Redmond!!1!
Fiese Hacker haben über Whatsapp fremde Nationen bespitzelt.
Wisst ihr, woran ich direkt denken musste? An diese Meldung von vor ein paar Wochen. Da wollten nämlich ein paar EU-Abgeordnete Signal benutzen, aber das EU-Parlament hat gesagt: Nein. Aus Sicherheitsgründen müsst ihr Whatsapp benutzen.
Nein, wirklich! Das haben die gesagt!
Gut, beim EU-Parlament ging es um die Desktop-App und hier geht es um die Mobil-App.
Whatsapp hat dann zur Schadensbegrenzung eine PR-Klage gegen die israelische Klitsche eingereicht, die die Malware verkauft hat. Ich hoffe, ihr fallt auf diesen Schmuh nicht rein. Zum gehackt werden gehören immer zwei. Ein unmoralischer Krimineller, der die Malware schreibt, und ein unmoralischer Entwickler, der unsichere Software an seine Kunden verteilt.
Update: Ich hoffe, ihr habt euch den Artikel ganz durchgelesen. Das Money Quote ist wie üblich gegen Ende im Kleingedruckten:
Prior to notifying victims, WhatsApp checked the target list against existing law enforcement requests for information relating to criminal investigations, such as terrorism or child exploitation cases. But the company found no overlap, said a person familiar with the matter. Governments can submit such requests for information to WhatsApp through an online portal the company maintains.
Die israelischen Ultra-Haxors haben nicht etwa Whatsapp gehackt. Die haben die existierende Backdoor für "lawful interception" benutzt.
Wisst ihr noch, wie ich seit Jahren davor warne, dass staatliche Hintertüren auch von Dritten genutzt werden könnten? Hier haben wir den ersten Fall, indem das passiert und dokumentiert ist.
Heise lädt nämlich mit 1 Sekunde Verzögerung, wenn man Adblocker hat. Ich bin ja bei sowas gutwillig und nehme immer erstmal Inkompetenz an. Im Zweifel für den Angeklagten. Aber es stellt sich raus: Das ist nicht Inkompetenz, das ist Bösartigkeit. Das wird von einem Stück Javascript auf deren Webseite künstlich herbeigeführt, den sie über eine dieser windigen Onlinewerbungs-Startups reingelutscht haben. Das Forumsposting erklärt auch, wie man dieses Skript in Firefox wegblockt.
In der IT-Security habe ich schon länger das Problem, dass ich andere Teilnehmer immer nur noch als potentielle Angreifer betrachte und niemandem per Default Vertrauen entgegenbringe. Das ist einfach das Modell in der Security. Ich fand immer, dass das schlecht fürs Gemüt ist, denn die meisten Menschen sind ja nicht böse. Zumindest nicht aktiv.
Aber so langsam zeigt sich ja nach und nach, dass das völlig richtig ist. Jede einzelne Webseite da draußen will dich ans Messer liefern. Heise hat sich ja schon durch Outbrain-Einblendungen ins Abseits katapultiert, wo dann lauter so Scammer inserieren, die dir Bitcoin-Investments und Silbermünzen mit total voll hohem Wiederverkaufswert andrehen wollen. Oder ein Malware, äh, Treiberpaket zum Download anbieten.
Vielleicht bin ich einfach nur ein schlechter Kapitalist, aber da würde ich lieber die Hälfte meiner Mitarbeiter feuern, als mir so den Ruf zu ruinieren. Absolut undiskutabel.
Oh und wo wir gerade bei Scams waren: Es ist ja inzwischen offenbar absolut üblich, sich seine Entwicklung durch Kickstarter finanzieren zu lassen, und dann aber auch nochmal Kohle für das von wohltätigen Spendern finanzierte Ergebnis sehen zu wollen. Hab ich da irgendein Memo nicht gekriegt?
Nein, ist es nicht. Eine Malware auf deinem Endpunkt kann alles tun, was du auch tun kannst. Das heißt insbesondere: Daten in der Cloud löschen. Wenn du Geschäftsführer-Credentials hast: Die Cloud löschen. Wenn du Admin-Credentials hast: Die Backups löschen.
Die einzige garantierte Strategie gegen Malware ist, sie sich gar nicht erst einzufangen. Dass heißt in der Praxis: Den Mitarbeitern einen Arbeitsplatz zur Verfügung zu stellen, der gegen sowas nicht so anfällig ist. Das schränkt leider die Flexibilität deutlich ein. Daher werden Firmen in der Regel einen Kompromiss suchen.
Einer der Kompromisse wäre, wie ich glaube ich auch schon mal skizziert habe, eine Append-Only-Datenstruktur. Was man mit Daten tun kann, ist durch die Zugriffs-Möglichkeiten definiert. Wenn man eine Datei hat, kann man da Dinge überschreiben oder anfügen oder die ganze Datei löschen. Wenn man allerdings ein API hat, bei dem man nur Dinge am Ende anfügen kann, und statt löschen geht nur "als veraltet markieren", und die Software beinhaltet ein Rollback-Feature, mit dem man die Änderungen einzeln zurücknehmen kann, dann kann auch eine Malware nichts verschwinden lassen – solange sie an dasselbe API gebunden ist.
Das kann man über eine Cloud implementieren, aber man kann es auch in-house implementieren. Wichtig ist bloß, dass es auf einem separaten Rechner implementiert wird, der sich keine Malware einfangen wird. Das heißt: Der hat keine User-Accounts, bietet sonst keine Dienste an, hat keinen Browser und kein Office drauf und auch sonst keine Anwendungssoftware, und niemand liest auf ihm seine Mail.
Wie es aussieht, haben die Angreifer das bloß für C&C benutzt, also um anderswo gehackte Rechner zu steuern.
Ich entwickle mein Forth ja unter Linux, und die Windows-Variante ist unter den Windows-Anhängern nicht so wahnsinnig populär. Ich habe dafür trotzdem so einen Signatur-Voodoo-Key, was einem ganz gut hilft gegen false positives, denn mir sind auch schon Windows-Distributionen weggelöscht worden von diesem Snake-Oil-Zeugs. Das tut anscheinend, jedenfalls ist die gforth.exe nicht verbrannt. Ähnlich bin ich mit bigForth vorgegangen, und das hat auch geklappt (also, derzeit keine false positives, obwohl das mal früher schon ein Problem war).Die Leute, die Win32Forth entwickeln, sind da viel unbedarfter drangegangen, haben sich kein Zertifikat besorgt, und nichts gegen die ersten false positives unternommen. Deren System wird inzwischen von 14 recht populären Snakeoils erkannt, wobei Microsoft dabei ist. Da hat man dann kaum noch Chancen, damit durchzukommen. Die sind jetzt ziemlich verzweifelt, und überlegen sich, ob sie einfach alle auf Linux umsteigen, und ihr Forth unter Wine weiterbetreiben (wobei natürlich die Frage ist, wozu sie das dann noch da dran weiterentwickeln — aber als Windows-Nutzer kommen sie halt mit der GPL sehr grundsätzlich nicht klar, und ich habe auch irgendwie den Eindruck, dass es auch noch andere Gründe gibt, warum die an Windows festgepappt sind, und die hängen an der generellen Kompetenz — die ursprünglichen Entwickler von Win32Forth sind längst nicht mehr dabei).
Anfang des Jahres hatte uns ein Nutzer mitgeteilt, dass sein Browser, Firefox, meinte, Gentoo’s Installationsmedium würde Malware beinhalten.Erinnert an gmail. Da könnt ihr ja mal einen von Google ausgehenden Spam zu melden versuchen. Wenn ihr auf Kafka-Geschichten steht.Leider hatte der Nutzer den Download nicht beendet bzw. gleich wieder gelöscht (die Warnung sieht halt auch gefährlich aus!). Es stellte sich dann schnell heraus, dass zumindest zum Zeitpunkt unserer Prüfung, alle Mirrors die gleichen Dateien ausgespielt haben (Checksummen stimmen überein) und diese sauber waren (ja, wir haben unsere Images mit verschiedenen Schlangenöl-Lösungen geprüft).
Was war dann der Grund? Die Herkunft! Gentoo nutzt noch Mirrors, kostenlos bereitgestellt von Dritten und kein zentrales CDN. Einer dieser Spiegelserver, mirrors.kernel.org, ist in Google’s SaferBrowsing System gelistet. Aber nicht generell, nein, nur für das *gesamte* "/gentoo"-Unterverzeichnis.
Das schließt eben auch unser Installationsmedium in "/gentoo/releases/amd64/..." mit ein.
Wir haben dann irgendwann durch unsere Kontakte die Information bekommen, dass die Ursache im *Quellcode*-Archiv zu "Shadowinteger's Backdoor" (http://tigerteam.se/dl/sbd/) einem netcat-Klon stecken würde.
Was wir bis heute nicht wissen:
- Da Google’s SafeBrowsing offenbar in der Lage ist auf Verzeichnisebene zu flaggen, wieso haben sie dann die Warnung nicht zumindest auf /gentoo/distfiles beschränkt?
- Warum ist nur mirrors.kernel.org betroffen? Die Datei liegt auf allen unseren Spiegeln. Wenn nun also wirklich Gefahr von dieser Datei ausgehen sollte müsste der gemeine User, der sich auf SaferBrowsing verlässt, doch erwarten können, dass die gleiche Datei immer und überall erkannt und geblockt werden würde.
- Aktuell (das war vor paar Wochen noch anders) scheint tatsächlich die Quellcode-Datei von allen Quellen blockiert zu werden (also wirklich nur sbd-1.37.tar.gz), was Browser, die gegen das SafeBrowsing Download-API prüfen, verhindern.
Seit dieser Zeit kämpfen wir jetzt mit Google um eine Korrektur der Einstufung. Selbst mit unseren noch immer guten Kontakten zu Google (Hallo ChromeOS!) ist da nicht viel zu machen denn bekanntlich ist Google ein technisches Unternehmen: Die wissen, dass Menschen Geld kosten. Also tun die alles um Probleme technisch zu lösen und den Einsatz von Menschen zu minimieren, so auch im "Support": Erst wenn die Error-Rate zu einem gemeldeten Problem eine bestimmte Prozentschwelle überschritten hat, schaut sich ein Mensch den Sachverhalt an... :/
Zum Thema "Schlangenöl nimmt Webseite als Geisel und verhindert, dass Leute mit gängigen Browsern sie überhaupt zu Gesicht bekommen" möchte ich dir über meine Erlebnisse erzählen. Betrachte dich also bitte als Kummerkasten ;) Vielleicht findest du aber auch den ein oder anderen (Ab-)Satz für deine Leser interessant; in diesem Falle: bedien dich. (Und spring' von mir aus gleich zum TL;DR am Ende :)Lacher am Rande: Die Schlangenöl-Community macht das auch so. Die müssen sich ja auch ihre Samples gegenseitig zuschicken. Die tun das auch in ZIP-Files mit Standardpasswort.Im Vorfeld: Ich bin, was amoklaufende Virenscanner angeht, schon einiges gewohnt. Ich bin in der Demoszene aktiv (also jetzt nicht der mit den brennenden Autos, sondern der mit den Grafikdemos), insbesondere im Bereich 4k- und 64k-Intros, also Demos mit einer Größenbeschränkung auf wenige Kilobyte. Da kommen praktisch immer sehr spezielle Laufzeitpacker wie "Crinkler" (http://www.crinkler.net/) und "kkrunchy" (http://www.farbrausch.de/~fg/kkrunchy/) zum Einsatz, um noch das letzte Byte herauszukitzeln. Dummerweise haben wohl auch mal Malware-Autoren diese Packer zur Obfuscation benutzt, und da Schlangenöl-Hersteller das Brett an der dünnsten Stelle bohren, haben sie, anstatt die Malware ordentlich zu analysieren, einfach die Packer auf die schwarze Liste gesetzt. Da ich selbst ein paar mit besagten Packern komprimierte, aber an sich völlig harmlose 4k- und 64k-Intros auf meiner Webseite hoste, habe ich schon mehrfach von meinem Hosting-Provider böse Mails bekommen, ich möge doch binnen X Stunden meine Site saubermachen, sonst wird sie vom Netz genommen. Bisher ist das immer mit einer erklärenden Mail aufzulösen gewesen, zum Glück.
Andere Demoszener haben übrigens angefangen, ihre Intros in einer Form zum Download anzubieten, die automatisches Scanning unmöglich macht. Standard sind inzwischen ZIP-Archive, in denen die EXE-Dateien verschlüsselt abgelegt sind, und der Key steht in einer readme.txt oder so. Oder, ein besonders schräger Hack: Da liegt das Executable im Download-Archiv einfach ohne die "MZ"-Signatur (also die ersten zwei Bytes jedes Windows-Executables) vor. Erst eine mitgelieferte .bat-Datei klebt Header und Rest wieder zusammen und erzeugt eine gültige Windows-EXE.
Aber ich schweife ab.Irgendwann wurde es jedenfalls mit den Fehldetektionen noch schlimmer und Nutzer wurden daran gehindert, auch meine "normalen" Utilities, die nichts mit der Demoszene zu tun haben, herunterzuladen. Beliebte Ziele sind ein Tool, das in Python geschrieben ist und das ich für faule Windows-Nutzer mit einem Standard-Programm(!) in eine einzelne EXE verpackt habe. Oder ganz normale, mit Microsoft Visual C++ compilierte Executables.
Auch Google hatte mich schon immer auf dem Kieker. Der Aufruf des Verzeichnisses auf dem Server, in dem die Downloads lagen, führte schon länger bei Chrome-Nutzern zum gefürchteten "roten Bildschirm". Das war mir noch egal, aber vor zwei Wochen begann Google damit, meine gesamte .de-Domain als gefährlich einzustufen — einschließlich *aller* Subdomains, nicht nur der, wo das (angeblich) gefährliche Zeug lagert! Selbstverständlich wurde ich darüber nicht informiert (Mail an webmaster@meinedomain.de oder so? I wo!), ich habe es von Nutzern meiner anderen Webdienste erfahren, die auf anderen Subdomains liegen sind als der persönliche und Demoszenen-Kram.
Nun gibt es bei Google keine öffentliche, funktionierende Möglichkeit, "false positives" zu melden. Es gibt Dokumentation für Webmaster, was man tun soll, wenn Google Malware auf der eigenen Domain erkannt hat, aber die geht stets davon aus, dass man wirklich mit irgend einem Wurm infiziert ist. Die Option auf eigenen Irrtum scheint Google gar nicht zu kennen. Vor allem kriegt man nicht einmal heraus, *welche* konkreten Inhalte denn als schädlich erkannt wurden.
Es gibt aber eine Möglichkeit, nämlich die "Search Console". Um die zu nutzen, muss man sich gegenüber Google mit einem permanentem DNS-TXT-Record als Besitzer der Domain ausweisen (wohl dem, der die DNS-Records seiner Webseite unter Kontrolle hat!). Die Console selbst ist eher für SEO-Kram gedacht, aber da gibt es auch einen Menüpunkt "security issues" und tatsächlich stehen dort mal ein paar konkrete URLs von angeblich bösen Inhalten. Überraschenderweise waren das bei mir nicht die erwartete Handvoll Demoszenen-Intros, sondern nur eine zehn Jahre alte .tar-Datei mit einer Library, die als Beispielprogramm ein kkrunchy-gepacktes Windows-Executable enthielt. (Das Programm selbst war völlig harmlos: Es handelte sich um einen schlichten MP3-Player.) Nun ja, da gibt es einen "I have fixed the issues, request review"-Button, also hab' ich den mal gedrückt und im Freitextfeld eingegeben, dass es ein "false positive" ist (mitsamt ein paar Erläuterungen, wie was wo warum). Zwei Tage später die Antwort: Meinem Review Request konnte nicht stattgegeben werden, die Malware sei immer noch da. Die haben meine Erklärung gar nicht gelesen! Also habe ich die inkriminierende EXE-Datei aus dem Archiv entfernt und das Archiv zudem umbenannt (die ganze Library ist eh' obsolet). Nochmal "request review" gemacht, mit Freitext "ich hab's jetzt entfernt, aber ehrlich jetzt, Jungs, das wäre gar nicht nötig gewesen, weil …". Daraufhin: Nichts. Eine Woche lang keine Reaktion. Nach einer anderthalben Woche schaue ich nochmal in die Search Console, und siehe da: Jetzt ist ein anderes Programm der Stein des Anstoßes. Eins, das vorher schon da war. Eins, das nichtmal Crinkler oder kkrunchy benutzt, sondern schlicht UPX, den bekanntesten Executable-Packer überhaupt. Ein Bildbetrachter, in C++ geschrieben, mit Visual Studio compiliert und statisch gegen libjpeg-turbo und die Microsoft Visual C++ Runtime gelinkt. Das reicht also heutzutage aus, um mit einer ganzen Domain auf dem Malware-Index zu landen!
Zum Glück war das nur eine Testversion, also konnte ich die gefahrlos löschen und wieder den "request review"-Affentanz aufführen. Jetzt ist meine Domain erstmal wieder als unbedenklich markiert, aber für wie lange?TL;DR: Alles Scheiße.
Takeaway #1: Wenn Google deine Domain wegen angeblicher Malware-Infektion hops nimmt, erfährst du es nur indirekt von deinen Nutzern (außer du nutzt selbst Chrome mit aktiviertem "ich schicke erstmal jede aufgerufene URL an Google"-Phishing-Schutz, aber hey, das tust du natürlich nicht). Wenn du wissen willst, wo Google denn nun genau Malware auf deiner Domain gefunden hat, musst du an deinem DNS herummanipulieren und einen Google-Account haben, um die "Search Console" benutzen zu können. "False Positives" reporten geht nicht: Derlei Anfragen werden ignoriert, also lösch den Kram oder fuck you.
Takeaway #2: Es braucht nicht viel, um Schlangenöl zu triggern, deine (Windows-)Software als Malware zu erkennen.
- Laufzeit-Packer verwendet? Verdächtig!
- C-Library statisch gelinkt? Verdächtig! (siehe https://twitter.com/KeyJ_trbl/status/1138885991517839360 — selbst ein verdammtes "Hello World"-Programm wird schon von diversen Schlangenöl-Anbietern als Malware erkannt!)
- Python-Software mit PyInstaller (einem Standard-Paket in der Python-Welt) in eine einzelne Windows-EXE verpackt? Verdächtig! Wenn man (wie ich) möglichst kompakte Software für Windows (nur eine EXE-Datei, keine weiteren Dependencies) schreiben und veröffentlichen möchte, ist man quasi am Arsch.
Ich hab mich da immer aus der Ferne drüber totgelacht.
Mal ganz neutral analysiert ist das natürlich ein weiterer Fall von Externalisierung von Kosten. Wenn ich mir einen wirtschaftlichen Vorteil verschaffe, indem ich die durch meine Aktivitäten entstehenden Kosten Anderen aufdrücke. Wie bei Umweltverschmutzung und Atommüll. Die Tech-Riesen bieten einen Mail-Service an, und externalisieren die Spam-Kosten auf den Rest der Welt.
Ach ICH soll mir jetzt irgendwelche DNS-Records anlegen, und meine Mails vom Mailserver mit einem Domainkey digital signieren lassen, um EUER Spamproblem für euch einfacher lösbar zu machen? Go fuck yourself!
Oh aber selbst habt ihr nicht mal eine funktionierende abuse@-Adresse, wo man sich über von euch ausgehenden Spam beklagen könnte? Go fuck yourself!
Ihr verkauft Schlangenöl, das prinzipiell seine Funktion nicht erfüllen kann, und die Kosten für False Positives externalisiert ihr an … mich? Go fuck yourself!
Ich glaube, wir brauche mal eine Behörde für Digitalumweltschutz, die solche Geschäftsmodelle systematisch aus dem Verkehr zieht. Alle solche Firmen systematisch zumachen. Eine nach der anderen. Wer Kosten externalisiert, wird zugemacht. Und der Aufsichtsrat / der CEO / die Gründer / die Investoren sind persönlich haftbar für die Verfahrenskosten.
Ja aber Fefe wenn wir die ganzen Kosten selber tragen müssten, dann würde sich unser Geschäftsmodell nicht tragen!!1!
Wenn sich euer Geschäftsmodell nur durch Externalisierung von Kosten trägt, DANN TRÄGT ES SICH GAR NICHT. Man stelle sich mal vor, ein Wurstproduzent würde so argumentieren! Ja klar könnte ich hier Hygienestandards erfüllen, aber dann wäre das nicht profitabel!!1! Da würde doch niemand auch nur eine halbe Sekunde zögern, den aus dem Verkehr zu ziehen!
Ja klar könnten wir auch Bremsen in die Autos einbauen, aber dann wären wir preislich nicht mehr konkurrenzfähig!1!!
Unfassbar.
Da wird sich der eine oder andere gedacht haben: Ach komm, Fefe, erzähl uns doch keinen vom Pferd, die Leute wären doch nicht so blöde und setzen Machine Learning ein, wenn das so fundamentale Probleme hat.
Daher präsentiere ich heute: Microsofts Schlangenöl mit Machine Learning hält den Updater von Dolphin für Malware. Und zwar nicht die Software auf eurem Rechner, nein, das Machine Learning in deren Cloud. Weil das Machine Learning ist, kriegen sie das nicht debugged, und das Nachtrainieren macht mehr kaputt als es heile macht. Also … hat Microsoft jetzt manuell eine Whiteliste für alle Dolphin-Entwicklerversionen, die sie gesehen haben. Und pflegen das immer schön von Hand nach.
Ich persönlich fände es ja ganz angenehm, wenn mir die Leute meinen Scheiß beim ersten Mal glauben würden, aber … not gonna lie, das ständige "told you so" ist auch ganz angenehm :-)
Das sind Malware-Taktiken aus dem Hause Microsoft.
Ich hoffe, es findet sich ein Verbraucherschützer, der die dafür vor den Kadi zerrt. Und da wundern sich die Experten, wieso die Leute keine Updates installieren.
By carefully analyzing the engine and model of Cylance’s AI based antivirus product, we identify a peculiar bias towards a specific game. Combining an analysis of the feature extraction process, its heavy reliance on strings, and its strong bias for this specific game, we are capable of crafting a simple and rather amusing bypass. Namely, by appending a selected list of strings to a malicious file, we are capable of changing its score significantly, avoiding detection. This method proved successful for 100% of the top 10 Malware for May 2019, and close to 90% for a larger sample of 384 malware.Nehmt KI, sagten sie! Wir sind zwar zu inkompetent, um das Problem zu lösen, aber unsere KI ist bestimmt viel schlauer! Genau sagen können wir das nicht, denn dafür müssten wir ja selbst kompetent auf dem Gebiet sein, was wir nicht sind, sonst würden wir nicht auf KI setzen. (Danke, Kristian)
Und natürlich ist mal wieder die Rede von einem Hackerangriff. Eine Ransomware ist kein Hackerangriff. Ein Hackerangriff ist, wenn ein Hacker deinen Rechner angreift, ohne dein Zutun, und der geht dann kaputt oder tut Dinge, die du nicht wolltest. Heutzutage ist der Begriff in der Breite kaum noch anwendbar, weil jede Schrottsoftware ständig neue Updates nachinstalliert, die Dinge tun, die du nicht wolltest. Aber das ist die Definition eines Hackerangriffs.
Was wir hier haben ist ein klarer Fall von "die Organisation hielt es nicht für nötig, ordentliche Infrastruktur auszurollen". Organisationen, die glauben, ein verkacktes Berechtigungskonzept im Unternehmen durch die Nachinstallation von Schlangenöl bekämpfen zu können. Und ja, das ist meiner Erfahrung nach der beste Indikator für verkackte Sicherheitskonzepte in Organisationen: Schlangenöl. Je verkackter die Security, desto mehr Schlangenöl.
Ja aber Fefe, höre ich euch sagen, die Produkte im Gesundheitssektor sind alle auf einem beschissenen Niveau, da kann man nicht so viel machen! Doch, kann man. Man vernetzt sie nicht. Und man klagt solange bei den Herstellern Nachbesserungen ein, bis die netto einen Verlust pro verkaufter Lizenz einfahren.
Was mich ja bei solchen Geschichten immer am meisten mitnimmt: Das sind die Leute, denen wir glauben sollen, dass sie bei dem Rest ihres Krankenhauses schon alles ordentlich machen. Denen wir unser Leben anvertrauen sollen, wenn wir in Not sind. Die Leute, die es nicht schaffen, ihre IT ordentlich zu installieren, denen sollen wir dann glauben, dass sie aber ihre ärztlichen Dinge alle voll im Griff haben.
Ich weiß nicht, wie euch das geht, aber das fällt mir schwer.
Money Quote:
In der Nacht zum Sonntag hat ein Cyberangriff das komplette Netzwerk des Verbundes lahmgelegt – und das trotz vorhandener Firewall und aktualisierter Antivirensoftware.DAS IST JA UNGLAUBLICH, BOB? Ihr hattet Schlangenöl und eine Firewall!?!? Und das hat nicht gereicht?!?!?
Eine von außen ins System eingespielte Schadsoftware hat Server und Datenbanken kryptisch verschlüsseltJa nee klar, von außen eingespielt. Ich glaube kein Wort. Das ist eine dieser "damit konnten alle gut leben"-Erklärungen. Es gibt für Ransomware drei typische Optionen, wie die in ein Unternehmen kommt:
Die Wahrscheinlichkeit für Fall 3 ist verschwindend gering. Das kommt praktisch nicht vor. Ich wäre wirklich überrascht, also echt ehrlich ganz doll überrascht, wenn das hier vorgekommen sein sollte. Den Fall kann man praktisch ausschließen, so selten kommt der vor. Dass jemand über eine Sicherheitslücke reinkommt, für die es noch keinen Patch gab. Das ist eine übliche Schutzbehauptung, aber vorkommen tut es nie.
Ich betrachte solche Fälle inzwischen als übliche Geschäftskosten. Du kannst entweder Geld in ordentliche Infrastruktur oder in Dauerreparaturen stecken. Ist wie bei Autobahnen und Fenstern und Sanitär und sonst überall. Aber seid dann bitte auch so ehrlich und faselt nicht von Hackerangriffen herum. Die Ursache für euren Schaden ist eure eigenen Infrastrukturentscheidungen, nicht irgendwelche Hacker.
So und jetzt könnt ihr entweder alle weiterhin euer Windows-Ökosystem mit Active Directory und SMB-Shares und MS Office weiter betreiben und schön Schlangenöl drübersprenkeln, und euch wundern, dass ihr trotzdem die ganze Zeit Ärger habt. Oder ihr könnt mir glauben, wenn ich euch sage: Schlangenöl hilft nicht.
Und ich habe jetzt Albträume über Ausreden eines Krankenhauses, das mit schlechter Hygiene erwischt wird. Das war keine verkackte Hygiene, das war ein Bakterien-Angriff! Wir hatten sogar eine Seife ausliegen und das hat nicht gereicht!!
New hotness: Malware benutzt Antivirus-Prozess, um die Spuren zu verwischen.
Warte mal, war nicht der Existenzgrund für den Antivirus, den Malware-Befall zu verhindern?!
Ey pass auf, ich hab ne Idee. Wenn das Schlangenöl nicht hilft, dann war die Dosis zu klein!!
Daraufhin gab es Widerspruch bei Golem und jetzt rudert auch Heise zurück. Dabei spielt das doch mal sowas von überhaupt gar keine Rolle, wie irgendwelche Malware-Samples nach Hause telefonieren. Wenn eie Malware nach Hause telefoniert, ist das Kind schon im Brunnen und ist schon blau angelaufen.
Das Problem bei DNS-over-HTTPS ist auch nicht, dass man damit verschlüsselt kommunizieren kann, sondern dass ... ich hatte das hier schonmal ausgeführt ... die Komplexität mehrere Größenordnungen höher ist, ohne dass es tatsächlich einen echten Privacy-Mehrwert bringt. Außer in einem Szenario. Bei einem WLAN, das man sich mit Fremden teilt.
Mein Hauptproblem mit DNS-over-HTTPS war aber, dass das den gesamten Traffic über Cloudflare lenken wollte. Nun halte ich Cloudflare für einen Haufen inkompetente Clowns, aber selbst wenn sie wüssten, was sie täten, was wie gesagt jedenfalls aus meiner Warte nicht der Fall zu sein scheint, selbst dann wäre es eine schlechte Idee, allen DNS-Traffic aller Mozilla-Kunden über Cloudflare zu tunneln. Das macht dann nämlich das Abgreifen der DNS-Daten noch einfacher für die Geheimdienste. Die müssen nur bei Cloudflare den Schnorchel ansetzen. Gerade für US-Geheimdienste, in deren Jurisdiktion Cloudflare liegt, wäre dafür nicht mal Hacking-Aufwand vonnöten.
Also, nochmal zum Mitmeißeln. DOH ist schlecht, weil es so furchtbar komplex ist, nicht weil Malware darüber reden könnte. DOH zu Cloudflare ist schlecht, weil Cloudflare alle Nase lang irgendwelche katastrophalen Ausfälle hat, und weil zentralisiertes DNS-Routing für die Dienste das Abschnorcheln zu einfach macht. Und hört endlich auf, Malware zu analysieren, was sie nach der Infektion macht. Nach der Infektion ist es zu spät. Findet lieber raus, wie die Malware auf das System kommen kann, und macht das zu.
Völlig klar! Da braucht man Endpoint Protection! Gegen Malware. Oder man könnte auch sagen Advanced Malware Protection for Endpoints!
Ist dann natürlich doof, wenn die Advanced Malware Protection for Endpoints auch unsichere Scheiße ist, über die eine Malware ihren Zugriff ausdehnen könnte.
Aber hey, wer Cisco kauft, hat sicher Sinn für diese Art von Humor. (Danke, Jens)
Meldung 1: MIT-Forscher stellen probabilistisches Programmiersystem Gen vor.
Wait, what?!
Ein wesentliches Anliegen der vorgelegten Forschungsarbeit sei es, automatisierte KI auch Menschen mit geringeren Fachkenntnissen in Informatik oder Mathematik zugänglich zu machenOH NEEEIIINNNN!!!!!!
Meldung 2: Firefox erhöht endlich die Kompatibilität mit Man-in-the-Middle-Malwaren, die TLS aufbeißen wollen. Und man kann es nicht abschalten!
In Firefox 68 wird sie standardmäßig aktiv sein. Wenn ein Nutzer sie im about:config-Bereich manuell auf "false" setzt, stellt Firefox dies beim nächsten Auftreten eines MitM-Fehlers eigenständig wieder auf "true" um. Sofern die Umstellung das Problem behebt, bleibt sie anschließend aktiv.Na das ist ja eine TOLLE Idee!!1!
Der Krieg der Mozilla Foundation gegen die eigenen Kunden geht erbarmungslos weiter!!
Update: Geht noch weiter. Ursula von der Leyen ist angeblich als EU-Kommissionschefin im Gespräch. Erinnert ihr euch daran, als wir uns für Oettinger geschämt haben?
Auf der anderen Seite besteht dann eine reelle Chance, dass die Flinten-Uschi dann die EU-Kommission mit der bewährten McKinsey-Methode handlungsunfähig macht.
Völlig klar, da musste etwas geschehen. Das neue Feature heißt Power Queries und erlaubt externe DDE-Quellen in Excel-Tabellen.
The Power Query feature is designed to allow you to embed remote content easily and dynamically.Was kann da schon schiefgehen!
New hotness: Hersteller empfiehlt Schlangenöl für ihre Fernseher!
Scanning your computer for malware viruses is important to keep it running smoothly. This also is true for your QLED TV if it's connected to Wi-Fi!Prevent malicious software attacks on your TV by scanning for viruses on your TV every few weeks.
Ja nee, klar. Wir müssen keine ordentliche Software ausliefern. Wir übergeben die Verantwortung einfach an unsere Kunden. Ist ja auch viel billiger (für uns), wenn eine Million Kunden sinnlose Zeit und Geld verplempern als wenn wir das einmal richtig machen!1!!Es wird echt höchste Zeit dafür, dass die Kosten für Malware-Bekämpfung den Herstellern aufgedrückt werden.
Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren.Seid ihr auch so froh, dass uns das Schlangenöl vor Schaden bewahrt? Nicht auszudenken, was Malware sonst alles ausrichten könnte und würde! Z.B. eure Firefox-Passwortdaten kaputtmachen!!1!
Update: Dazu passend schickt mir jemand dieses tolle Reddit-Fundstück zu.
Die andere Sache, die ihr immer als Lösung verkauft, ist dass die Leute geschult werden müssen, nicht überall drauf zu klicken.
Ich will jetzt hier nicht groß auf Heise draufkloppen, weil das ja anderswo auch so läuft. Aber lasst uns doch mal jetzt endlich eine Sache gemeinsam festhalten. Antiviren helfen nicht. Und "die Leute schulen" hilft auch nicht.
Bei der Gelegenheit sei mal an die Geschichte von "vom Auto überfahren werden ist Schuld des Fußgängers" erinnert, denn ich sehe da Parallelen. Genau wie die Autoindustrie uns eingeredet hat, dass wenn jemand angefahren wird, dann er da wohl nicht hätte sein sollen, genauso redet uns die Softwareindustrie seit Jahren ein, dass Anwender halt nicht auf alles draufklicken sollen. Die aktuelle Inkarnation davon ist, wie man bei Windows 10 und Smartphones "Consent" gewährt, indem die einem kurz (wenn man Glück hat!) eine Liste mit angeforderten Permissions vor der Nase aufpoppen und danach gilt der Anwender als selber schuld.
Ein Browser, bei dem man nicht auf alle Links draufklicken darf, weil einem sonst das System von Ransomware übernommen wird, ist nicht akzeptabel. Eine Arbeitsumgebung, bei dem man keine Dokumente öffnen darf, die einem zugeschickt werden, ist nicht akzeptabel. Das ist der Job von Sachbearbeitern eines Verlages, Dokumente zu öffnen, die ihnen zugeschickt werden. Wir sollten hier uns auch nicht von irgendwelchen Diskussionen ablenken lassen, wie gut oder nicht gut die Malware getarnt war. Eine Arbeitsumgebung, in der man nicht überall draufklicken darf, ist nicht akzeptabel. Nehmt die Hersteller in Haftung.
Und an Heise: Haben eure Sachbearbeiter etwa Admin-Privilegien unter Windows?!
Diese haben dann recht schnell alle Windows-10-Arbeitsplätze im Netz infiziert, an denen die Benutzer lokale Admin-Rechte hatten. Das war eigentlich bereits per Policy untersagt. Allerdings gab es einige Ausnahmen, etwa auf einigen gerade eingerichteten Rechnern für eine interne Schulung, deren Software lokale Adminrechte erforderte.Ja nee, klar, da macht man dann halt ne Ausnahme. Wenn die Gammelsoftware von 1995 Admin-Rechte haben will. *stöhn*
Ich erinnere mich ja noch gut daran, als Intel uns allen diese EFI-Scheiß aufgezwungen hat. Niemand wollte das haben. Und was haben sie damals gesagt, wieso man das angeblich braucht? Weil es modern und ordentlich ist, im Vergleich zum alten Legacy-Bios.
War wohl doch nicht so modern und ordentlich.
Wieso sollte ich Intel eigentlich glauben, dass das "ModernFW" jetzt modern und ordentlich ist? Wer einmal lügt und so?
Oh und EFI war ja auch schon nicht open source. Daher haben wir UEFI gekriegt. Das war so halb open source. Googelt mal Tianocore, das ist der open source-Teil davon. Bugs, die ihr darin findet, werden auch in eurem UEFI-Bios sein.
Der Grund, wieso UEFI so einen schlechten Ruf hat und so wenig Vertrauen genießt, ist ja, weil die völlig ohne Not ein Modulkonzept eingeführt haben, über das sich dann Malware einnisten kann. Das hätte man natürlich vorher wissen können. Es wird euch nicht überraschen, dass man das natürlich vorher wusste. Man hat es trotzdem gemacht. Weil das ein Trend war.
Genau wie überhaupt metastasierende Firmware ein Trend ist. Früher hatte man ein Mainboard und eine CPU und auf dem Mainboard war ein BIOS und das war es. Wenn man von der Netzwerkkarte booten wollte, gab es ein Konzept für das Laden eines DHCP-Moduls von der Netzwerkkarte. Wenn man einen SCSI-Controller einbaute, gab es ein Konzept für das Laden eines BIOS-Moduls von dort. Das alte Ranzbios war auch schon so modular wie nötig.
Aber heute? Heute hat man in der CPU zwei Firmwares (einmal Microcode, einmal für die Management Engine, die übrigens auch ein eingebetteter Prozessor ist, auf dem ein Betriebssystem-Kernel und User-Space-Module laufen), dann hat man ein UEFI-Bios mit Modulen, dann hat man im WLAN-Chip eine Firmware, in der Netzwerkkarte, selbst Tastaturen und Mäuse haben Firmwares. Oh und auf dem Mainboard gibt es auch nochmal eine Management-Engine mit eigener Firmware. Und innerhalb dieser Geräte gibt es teilweise noch Unter-Firmwares für interne Teilkomponenten, die die verwalten, ohne dass man das von außen sehen kann.
Es ist wieder alte Flat-Earth-Joke. Firmware all the way down.
Insofern entschuldigt, wenn ich nur heiser lachen kann, wenn Intel jetzt von modern und ordentlich redet. Modern ist bei mir ein verbranntes Wort. Wer modern sagt, meint "schlechter als die letzte Generation". Modern heißt "wir haben sinnlos irgendwelche Trend-Hipster-Kacke eingebaut, die niemand braucht, weil wir dachten, dass man das halt heutzutage so macht".
Und alle kämpfen dann mit einer Update-Strategie für ihre Firmwares. Trust-Probleme werden mit Kryptografie unter den Teppich gekehrt. Früher hat man Kryptografie zwischen Regierungen benutzt, dann zwischen mir und meiner Bank, dann zwischen mir und meinem Drucker, zwischen mir und meinem Monitor, jetzt haben wir innerhalb der CPU Kryptographie zwischen Host-CPU-Teil und Management-Engine. Es ist so dermaßen absurd, nicht zuletzt weil das natürlich eine massive Energieverschwendung ist. Aber was mir noch mehr Sorgen macht: Kryptografie ist ein bewegliches Ziel. Wenn morgen ein populärer Algorithmus bricht, dann stürzt uns einmal das komplette Kartenhaus ein, nicht nur Online-Banking. Alles beruht heutzutage auf Kryptografie. AMD macht ja sogar Krypto zwischen Hypervisor und VMs und hat RAM-Verschlüsselung. Anstatt mal das Design ordentlich zu machen, erklären wir einfach immer alles für unvertrauenswürdig und machen Kryptografie wie zwischen Ländern, die miteinander im Kriegszustand sind.
Ich muss bei diesen Schlangenöl-Hersteller-Behauptungen über "APT" und Malware-Attribuierung immer an Kreml-Astrologie denken. Die machen Astrologie nicht nur mit Dingen, die sie nicht wissen, sondern auf der Ableitung von etwas, das sie nicht wissen.
Letztlich ist es ja auch egal, welcher Geheimdienst jetzt welche Lücke hatte. Wichtig ist, dass Geheimdienste die Lücken für Angriffe nutzen und nicht dem Hersteller melden und damit die Sicherheit der gesamten IT-Infrastruktur kompromittieren.
Hätte uns doch nur jemand frühzeitig gewarnt!!1!
Völlig unvorhergesehen und überraschend stellt sich nämlich heraus, dass Zertifikate ablaufen. Tsja, Mozilla, und DAS ist die Hölle, die ihr mit Letsencrypt einmal auf die ganze Welt rausgehauen habt. Nur halt nicht alle paar Jahre mal sondern alle paar Wochen mal. Wegen … uh … Yolo!!1!
Das Zertifikat, das hier abgelaufen ist, ist ein Intermediate Cert, das im Prozess des Signierens aller Add-Ons beteiligt ist. Denn Add-Ons müssen ja neuerdings signiert sein. Damit, wenn man sie über eine signierte Verbindung von Mozilla lädt, und da Malware drin ist, Mozilla sagen kann: Haha, nicht unsere Schuld!1!!
Ich frage mich ja, wie häufig Code Signing noch komplett versagen muss, bevor dieser unsägliche Bullshit-Trend mal endlich geerdet wird.
Mozilla hat jetzt jedenfalls Add-Ons komplett abgeschaltet.
Das Problem hat den schönen Namen "armagadd-on-2.0" gekriegt :-)
Update: Solange bei Firefox die Addons nicht gehen, würde ich lieber Chrome mit ublock/umatrix nehmen als Firefox ohne.
Update: Ein Leser meldet, dass man bei Firefox Nightly in about:config Addon-Signaturprüfung deaktivieren kann (Key xpinstall.signatures.required). Das hat natürlich andere Nachteile, wenn ihr nicht ausschließen könnt, dass euch freidrehende Software Firefox-Addons unterjubeln will. Auf der anderen Seite hatten wir ja auch schon genügend signierte bösartige Firefox-Addons. Mozillas Lösungsvorschlag ist, dass ihr alle Mozilla die Erlaubnis erteilt, Studien bei euch durchzuführen, und dann kommt innerhalb der nächste 6 Stunden hoffentlich diese eine magische Studie bei euch vorbei, die das fixt.
New hotness: Norton-Schlangenöl blockiert immer noch / schon wieder blog.fefe.de.
Das will man doch einsetzen! Fühlt ihr euch auch schon viel sicherer? Ein Glück, dass ein Profi wie Peter Norton sich kümmert!1!! Da hat die Malware keine Chance. Keine, sage ich! Alles finden die raus!
Schlaue Rekrutierungsstrategie! Wie die Amis. Winning their hearts and minds with bombs, cruise missiles and drone strikes! (Danke, Carsten)
Die Lösung lag auf der Hand. Man führt auf Hardware-Ebene Speicherschutz und eine Trennung ein. Also bewegten sich erst die Antiviren in den privilegierten Bereich und dann die Malware.
Was macht also Intel? Führt einen weiteren, noch privilegierteren Bereich ein. Der war so zugenagelt, dass sich da bisher m.W. keine Antiviren reinwurmen konnten. Aber eine Proof-of-Concept-Malware ist drinnen! Mit recht innovativen Methoden, gar. Intel hatte nämlich kürzlich die Regeln gelockert, wer in den ultra-privilegierten Bereich reindarf. Weil sich rausstellte: Wenn das keiner nutzt, ist es gar kein stechendes Verkaufsargument. Und die einzigen, die Schlange standen, waren die Hollywood-Kopierschutz-Fetischisten.
Gruss und seinen Forscherkollegen schafften es, über Sicherheitslücken in der Launch-Control-Funktionalität von Intel an Schlüssel zu kommen, mit denen sie Schadcode in eine Enklave laden können. Das Problem, dass dieser Code keine Systemaufrufe ausführen kann, um das System außerhalb der Enklave zu manipulierten, lösen sie mit der bewährten Hacker-Technik Return-Oriented Programming (ROP).Das ist schon recht cool. :-)
Besonders unterhaltsam ist auch die Antwort von Intel:
Gegenüber dem englischen IT-Nachrichtenportal The Register sagte ein Intel-Vertreter, dass man die Schwachstellen als außerhalb dessen betrachte, vor dem SGX schützen soll. Die Aufgabe von SGX sei es, Code in einer Schutzumgebung auszuführen. Laut Intel liegt es demnach beim Systembesitzer sicherzustellen, dass der in eine SGX-Enklave geladene Code vertrauenswürdig sei.OH ACH SO ist das! Das System, dem wir nicht vertrauen, und dem wir daher eine sichere Enklave aufgedrückt haben, dem vertrauen wir jetzt aber doch, wenn es um die Auswahl der Software geht, die in der Enklave läuft? Das klingt ja wie eine brillante Idee! Da hat ja jemand wirklich mitgedacht!1!!
What’s more, results from VirusTotal, the Google-owned malware scanning service, suggest that the malicious PEAR download installed a backdoor, possibly in the form of a Web shell, on infected servers. If true, the backdoor almost certainly gives the hackers complete control—including the ability to install applications, execute malicious code, and download sensitive data—over any machine that installed the malicious download.Vielleicht ist das eine gute Gelegenheit, dieses PHP endlich mal zu beerdigen.
Und was ist ihre Begründung? Stuxnet! Nein, wirklich!
Malware delivered via USB is suspected to be the root cause of infection behind the Stuxnet virus that shut down Iranian nuclear centrifuges in 2010. Back at the Black Hat USA 2013 conference, security researchers demonstrated the MACTANS attack against iOS devices, where simply plugging an iOS device into a malicious USB charger could lead to malware infection. At Black Hat USA 2014, additional USB attack vectors were disclosed that could have potentially enabled USB accessories to infect vulnerable systems.Gut, dass da jetzt endlich jemand was gegen tut!Ich frage mich gerade, wie das in der Praxis aussehen soll. Man steckt ein Gerät ein, das Rechner sagt: Unbekanntes Gerät. Schlüssel akzeptieren? Und klickt man ja, ohne sehen zu können, was drauf ist? Ich bin irgendwie nicht überzeugt von dem Konzept.
Es ist ja schon viel und zu Recht gelacht worden über node und npm, aber das heißt ja nicht, dass jetzt genug ist.
Aktueller Fall: ein NPM-"Modul" mit 2 Millionen Downloads pro Woche. Der Maintainer hatte irgendwie keinen Bock mehr, sich um seinen Scheiß zu kümmern. Da kam dieser andere Typ gerade recht, der so meinte, hey, ich kann das ja übernehmen und so! Und daraufhin hat der dem Schreibrechte gegeben und der gute Samariter hat erstmal Malware injected.
Da weiß man, was man hat! Das ist doch DIE Plattform für eine web-basierte Enterprise-Software!!1!
Update: Money Quote:
he emailed me and said he wanted to maintain the module, so I gave it to him. I don't get any thing from maintaining this module, and I don't even use it anymore, and havn't for years.
Cisco ist da und wirbt mit Malwareschutz.
Die Schufa ist da und wirbt mit Provisionen (für wenn eine Sparkasse ihnen Kundendaten gibt oder wie?).
IBM ist da und wirbt mit Quantencomputing.
Die Schufa zahlt Provisionen? Cisco macht Malware-Bekämpfung? Quantencomputer werden noch gehyped? Eine Überraschung nach der nächsten! :-)
Das mit den Schufa-Provisionen erklärt aber in der Tat einiges.
Der Vortrag selbst war mit Kopfhörern. Das Publikum kriegt Kopfhörer, der Vortragende ein Mikrofon, und dann muss man keinen Saalton haben und stört niemanden. Dafür sieht das von der Bühne aus, als würde Doctor Who ein paar Cybermen umprogrammieren. Die Kopfhörer haben an der Seite auch noch so einen farbigen LED-Ring, an dem man den Funk-Kanal sehen kann, den der gerade hört. Man erzählte mir, dass ein paar Schlipsträger sofort den Kanal wechselten, als ich von Blockchain anfing. Das ist echt Dark Mirror.
Aber beim Rumfragen kam raus, dass das auch schon andere erlebt haben, und deren Erfahrung war, dass die Leute konzentrierter folgen können, wie bei einem Podcast, weil sie weniger Seitengeräusche hören.
The future is now!
PS: Das IBM-Zeug ist eher Forschung, wie ich in einem netten Gespräch mit einem IBM-Mitarbeiter erfahren habe. Wenn man das nicht weiß, kann man aber am Stand einen anderen Eindruck kriegen. Immerhin haben sie da 16-20 Qubits und man kann in der Cloud mit einem Simulator rumspielen (oder auch Zugang zur echten Hardware kriegen).
Findet jedenfalls die ETSI und nennt ihre kaputtgemachte Version von TLS 1.3 "eTLS". e nicht für elektronisch sondern für "Enterprise". Fuck, yeah!
Aber der Höhepunkt der Meldung ist, wie sich völlig unironisch das zuständige Kommittee nennt:
ETSI Technical Committee CYBER has recently released a Middlebox Security Protocol specificationKannste dir gar nicht ausdenken sowas.
Important information regarding your Data Science Virtual Machine
instance(s)
Microsoft is writing to inform you of an incident which has
impacted one or more of your Data Science Virtual Machine (VM)
instances. Engineers detected crypto mining software in the
software package for your Data Science VM instance that may have
caused an increase in system resource utilization and subsequent
increase in your Azure usage. We have determined that this
affected a limited subset of Data Science VM instances installed
since September 24th, 2018.
Our investigation has determined that no customer data was
compromised due to this crypto mining software. A list of your
affected VM(s) is included at the bottom of this email.
Azure recommends that customers delete their affected Data
Science VM instances and redeploy a new instance from Azure
Marketplace to mitigate this issue. If you experience any
unexpected issues during the deletion and reinstallation of your
VM instances, please contact [4]Azure Support.
Microsoft sincerely apologizes for this incident and any
inconvenience that this has caused for our customers. We will be
proactively issuing credits for any increased usage on your
affected VM(s) that is attributed to this incident. Credits will
be applied to a future billing invoice.
Ich saß heute in einer Keynote von Mikko Hypponen drin, der da diese Geschichte erzählte, dass die Leute total glücklich sind, wenn man ihnen erzählt, dass sie sich einen Krypto-Miner eingefangen haben. Wenn du mit "Wir haben Malware gefunden" eröffnest, dann rechnen die eher mit Kreditkarte geklaut, Dokumente verschlüsselt, etc. Dann ist es direkt eine Erleichterung, wenn das "nur" ein Kryptominer war.Gut, in der Cloud zahlt man für Nutzung, und da kann so ein Kryptominer echt teuer werden.
ich bin durch ein Update meines Smartphones auf ein mMn interessantes Problem gestoßen bei dem einer der Leser vllt. Input hat.Ich habe ja schon vor Jahren vor Autoupdatern gewarnt, aus dem Grund, und weil die einem natürlich auch Malware einspielen können. Damit gibt man sozusagen einer externen Organisation den Wohnungstürschlüssel, und hofft, dass sie schon keinen Scheiß damit anstellen. Schon bedauerlich, dass ich mit solchen Bedenken immer Recht behalte.In meinem Fall hat ein Update des Betriebssystems (laut Beschreibung nur der monatliche Sicherheitspatch) dafür gesorgt, dass das Smartphone in einer Bootschleife hängt. Das Problem habe nicht nur ich, es scheinen alle Geräte betroffen und der Hersteller sagt auch, dass es an dem Update liegt.
Nun wird seit etwa einem Monat (was auch der Zyklus der Android-Sicherheitspatches ist) vom Support des Herstellers gesagt, dass an dem Problem gearbeitet wird, allerdings wurde nur eine grobe Deadline genannt und diese auch schon seit jetzt einer Woche überschritten. Es wird weder eine Option zum Downgrade angeboten noch eine andere Form der Hilfe/Kompensation. Das einzige was ich momentan noch bekomme sind "Verständnis und Entschuldigung"
Das Problem ist nun, das eine Gewährleistung nicht greift, zum Kaufzeitpunkt lag das Problem noch nicht vor. Der Hersteller hat nur eine Garantie über die Funktionsfähigkeit der Hardware abgegeben.
Meiner Meinung nach habe ich als Kunde also Pech und muss, sobald mir ein Update eingespielt wird, hoffen das alles gut geht. Oder ich auf keinen kulanten Hersteller treffe. Ich würde mich allerdings freuen, wenn jemand hier meine Interpretation vom Verbraucherschutz widerlegt.
Update: Ein Leser kommentiert die technischen Aspekte:
Auf hinreichend modernen Android Handys gibt es, um genau dieses Problem zu vermeiden, jede System-Partition doppelt(A/B), und ein Flag, was steuert, ob von A oder B gebootet wird.
Vermeidet auch halbwegs elegant eine lange Downtime im Recovery, weil das laufende System die inaktiven Partitionen in Ruhe updaten kann, und dann einfach nur ins fertige Update rebootet.
Wenn nun nach einem Update der Bootloader merkt, dass da etwas hängt, bootet er einfach wieder die alte Version, und die meldet dann dass das Update fehlgeschlagen ist.
Hilft natürlich nix, wenn das eigene Telefon das nicht kann. In dem Fall würde ich zusehen, ob man irgendwo ein Image der alten Version finden kann(kann man eigentlich immer irgendwo), welche man dann von Hand einspielen kann. Wenn die Version offiziell ist, geht das sogar meist ohne entsperren und den daraus resultierenden Garantie-Verlust.
Das Einspielen der alten Version geht dann über USB-Kabel und Spezialsoftware.
Bislang ist unklar, wie die brisante Software in die Türkei gelangen konnte.Oh, ich weiß, ich weiß! Die wird denen jemand verkauft haben!1!!
“It is metastasizing rapidly out of North Charleston and I just heard 777 (automated spar assembly tools) may have gone down,” VanderWel wrote, adding his concern that the virus could hit equipment used in functional tests of airplanes ready to roll out and potentially “spread to airplane software.”Das ist ein internes Memo, das bei denen rumging. Boeing dementiert inzwischen, dass ihre Produktion betroffen sei.Wer meinen Antipattern-Vortrag gesehen hat, dem wird die Szene hier bekannt vorkommen:
“Our cybersecurity operations center detected a limited intrusion of malware that affected a small number of systems,” Boeing said. “Remediations were applied and this is not a production and delivery issue.”Oh ihr habt ein Cybersecurity Operations Center! Aber euer Windows ist seit über einem Jahr nicht gepatcht? Ja super! Voll effektiv, euer Cybersecurity Operations Center! Sowas brauche ich offensichtlich auch!!1!
Nun. Brian hat diese Tage einen Bericht über Coinhive veröffentlicht. Das ist so eine JS-Mining-Geschichte, die im Browser Monero minen kann. Mich haben diese Browser-Miner nie interessiert, weil es offensichtlich in erster Linie die Besucher verärgert, deren Akku dann nicht so lange hält und deren Geräte heißlaufen, und weil es sich meiner Überschlagsrechnung nach auch gar nicht lohnen kann. Aber hey, wenn man die Kosten komplett externalisieren kann, ist einem das vielleicht egal. Und so kam es, wie es kommen musste: Böse Menschen haben das Coinhive-Zeugs als Malware verbreitet, und das hat dann irgendwann so ein Ausmaß angenommen, dass es Brian Krebs anzog.
Der hat dann mal rumgestochert und fand, dass Coinhive eine Firma ist (ich kann coinhive.com nicht mal absichtlich besuchen, weil uBlock das schon ewig in der Blockliste hat), die 30% der Kohle als Gebühren kassiert und den Rest ausschüttet. Wenn man denen eine Malware meldet, die bei ihnen mined, dann sperren die den Key, sagt Krebs, was aber nicht heißt, dass die Malware weg ist (duh!), sondern dass Coinhive 100% des Geldes behält. Krebs bezieht sich in dem Teil auf einen anderen Security-Forscher namens Troy Mursch, und verlinkt seine Quellen auch immer ordentlich.
Jedenfalls: Was kam raus bei den Recherchen, wo Coinhive herkam? Krebs fand heraus, dass das ursprünglich bei dem deutschen Imageboard pr0gramm.com auftauchte. Wer nicht weiß, was ein Imageboard ist: Das ist eine Art Webforum für anonyme oder manchmal auch pseudonyme Kommunikation, mit Bildern als Transport-Medium (obwohl es auch Textkommentare gibt). Das bekannteste Imageboard ist 4chan, bei denen voll-anonym kommuniziert wird, und Threads werden nach einer Weile automatisch gelöscht. Der Effekt ist wie bei Star Wars: You will never find a more wretched hive of scum and villainy. pr0gramm archiviert seine Threads und hat Pseudonyme, ist insofern nicht ganz so furchtbar wie 4chan, aber wie 4chan führten libertäre Grundeinstellungen, ritualisierte Ablehnung von Netzzensur und Pseudonymität zu einem Rennen darum, wer sich mit dem krassesten Fehlverhalten aus der Masse abheben kann. Bildmaterial aus dem 3. Reich und die-Ausländer-vergewaltigen-unsere-Frauen sind an der Tagesordnung. Das funktioniert natürlich nur, wenn die Pseudonymität nicht von außen aufgehoben wird, und hier kommen wir zu Brian Krebs. Der hat beim Coinhive-Recherchieren herausgefunden, dass die erste Version von dem Javascript-Code bei pr0gramm in Anwendung war, und wollte dann mal wissen, wer eigentlich das pr0gramm betreibt. Er schrieb daraufhin Leute an und fand Namen heraus und hat die in dem Bericht veröffentlicht.
Das ist ein Angriff ins Mark für Imageboards. Entsprechend heftig fiel die Reaktion aus. Bei mir gingen bestimmt ein halbes Dutzend mehr oder weniger wütende Mails ein, dass hier ein fieser Ami gerade arme deutsche Imageboardler doxxt und ihre Rechte mit Füßen tritt. Ich las mir daraufhin seine Recherche durch und fand da jetzt nichts besonders ehrenrührig. Er schreibt halt, was er rausgefunden hat. Kein erhobener Zeigefinger, außer man liest den selber rein. Keine Vorwürfe zwischen den Zeilen. Nichts. Also jedenfalls nicht gegen pr0gramm. Einzig die Stelle, wo er Coinhive dafür kritisiert, dass sie Malware nicht stoppen sondern die Kohle zu 100% behalten, fand ich grenzwertig. Wie soll Coinhive denn Malware auf irgendwelchen gehackten PCs stoppen, bei denen sie selbst nur ein Modul beigesteuert haben, und das auch noch im Quellcode, d.h. das können die Malware-Verbreiter verändert haben? Der Teil bei Krebs war bescheuert, fand ich, aber er hat schon Recht damit, dass diese Situation so aussieht, als pulle Coinhive da gegenüber den gehackten Usern eine Youtube-GEMA-Argumentation, nur auch noch ohne "wenn ihr uns hinweist, machen wir das weg" (weil sie das gar nicht können).
Die Story geht dann so weiter, dass er bei pr0gramm natürlich nur Leute anschrieb, die daraufhin direkt abwehrend und entsetzt reagieren, denn niemand will öffentlich als User oder gar Betreiber eines Imageboards genannt werden. Keiner von denen hat Krebs irgendwas gegeben, was für den natürlich aussieht wie eine typische mafiöse Vereinigung, wo der halt sonst so recherchiert :-)
Und Krebs findet natürlich auch was, denn der hat Zeit für sowas und lässt sich nicht abwimmeln — und veröffentlicht in der Tat den Realnamen des aktuellen Admins vom pr0gramm. Daraufhin hat besagter Admin auf pr0gramm gepostet, dass sie dann wohl mal gucken werden, wie lange sie die Site noch offen lassen wollen. Das löste bei der Userschaft ein Heulen und Zähneknirschen aus, das man wahrscheinlich noch bei Brian Krebs im Keller hören konnte. Die Site ist bald weg und der Krebs ist Schuld? Den hassen wir jetzt alle! Lasst ihn uns DDOSsen? Ach nee, ist sinnlos, dann sehen wir bloß schlecht aus und das merkt der gar nicht, weil Google ihn schützt.
Und dann — dann postete jemand einen Spendenbeleg. Bei der Krebshilfe. Nein, wirklich! Als Protest gegen Brian Krebs hat der der Krebshilfe gespendet. Und jetzt nicht 2 Cent sondern 25€ oder so, also keinen Trollbetrag. Das löste eine Welle von Spenden aus, die zeitweise das pr0gramm selbst und die Spendenseite der Krebshilfe zum Erliegen brachte.
Und das, meine lieben Leser, hat mir dann doch Tränen in die Augen gebracht. Das ist der erste mir bekannte Fall, wo ein Imageboard aus Rache etwas Positives getan hat.
Können wir das nicht häufiger haben? Vielleicht Spenden für die Alkoholhilfe aus Wut über Heiko Maas (wegen des Namens jetzt, bessere Puns werden gerne angenommen)?
Update: Anscheinend sind da inzwischen "weit über 100.000€" zusammengekommen, schätzt ein Einsender.
Update: Was die pr0gramm-Leute am meisten ärgert, ist dass der Krebs ihren aktuellen Admin enttarnt hat, der wohl mit der ganzen Sache gar nichts zu tun hatte, weil das unter der Ägide seines Vorgängers stattfand und überhaupt alles bloß einer ihrer User geschrieben hat, und mit Coinhive hatte keiner von denen wirklich was zu tun, sagen sie. Da treffen dann amerikanische und deutsche Journalismus-Ethik aufeinander. In den USA ist das völlig normal, in Berichten Namen zu nennen. Wer es nicht tut, macht keinen guten Journalismus, weil er sich mit nicht belastbarem Hörensagen abspeisen ließ. In Deutschland hält man die Namen zurück, außer es handelt sich um Personen des Zeitgeschehens, also Politiker oder Stars aus Sport oder Unterhaltung.
Update: Ein Einsender weist darauf hin, dass diese Aktion auch im pr0gramm ihren Ursprung nahm. Das ist also nicht das erste Mal, dass bei denen was Positives rauskam.
Update: Einige Einsender sagen, dass Coinhive das Mining doch stoppen könnte. Ich habe mir das Protokoll nicht angeguckt, das die da fahren. Mag sein.
CyberScoop has learned that Kaspersky research recently exposed an active, U.S.-led counterterrorism cyber-espionage operation. According to current and former U.S. intelligence officials, the operation was used to target ISIS and al-Qaeda members.Oooooch das ist ja bedauerlich! Wer hätte das gedacht? Wie man in den russischen Wald hineinruft, so schallt es heraus!
Das passt ja mal wieder wie Arsch auf Eimer! Die fiesen Chinesen! Repressive Monster! Die glauben wohl, wenn sie die Leute unterdrücken, dass die dann ihre 0days der Regierung gebe… wait, what? Oh. Ganz am Ende steht das hier:
Last year, the FBI arrested a Chinese cybersecurity expert with alleged ties to the Chinese government while he was attending a U.S.-based conference. Law enforcement claim the man was responsible for developing a malware variant that had been used in multiple breaches of American companies and organizations, including the Office of Personnel Management.In addition, the Justice Department announced a series of indictments in December against multiple Chinese nationals for their role in hacking and stealing intellectual property from U.S. companies. These individuals appeared to be contractors that took orders from a Chinese intelligence service.
Ja, äh, *hust*, gut, damit könnte das vielleicht eventuell auch was zu tun haben. Dass die ihre Spezialisten nicht von freidrehenden Amis kassiert haben wollen.
- The attackers used more generally available malware and “living off the land” tools, such as administration tools like PowerShell, PsExec, and Bitsadmin, which may be part of a strategy to make attribution more difficult. The Phishery toolkit became available on Github in 2016, and a tool used by the group—Screenutil—also appears to use some code from CodeProject.
- The attackers also did not use any zero days. As with the group’s use of publicly available tools, this could be an attempt to deliberately thwart attribution, or it could indicate a lack of resources.
- Some code strings in the malware were in Russian. However, some were also in French, which indicates that one of these languages may be a false flag.
Wieso ist eigentlich nur eine der Sprachen ein False Flag, wenn man zwei findet?
Oder ersetze IBM durch Microsoft. Oder Cisco. Immer die gleiche Nummer. Die können gar nicht so übel verkacken, dass die Leute ihnen nicht mehr ihren Scheiß abkaufen.
Und dann, 20 Jahre später, merkte ich, dass das auch umgekehrt so läuft. Noch niemand ist gefeuert worden, weil er von den Russen gehackt wurde. Egal was passiert, man sagt einfach, man sei von den Russen gecybert worden, und dann ist der Job sicher. Niemand wird gefeuert, weil die Russen ihn gecybert haben. Egal wie krass der vorher verkackt hat. Spielt keine Rolle. Ist wie mit IBM, nur andersherum.
Das Prinzip ist sehr mächtig. Achtet mal drauf. Ich glaube sogar, dass das das eigentlich Muster ist, und die IBM-Geschichte ist davon abgeleitet.
Ich war mal mit ein paar Freunden in einem Escape Room. Lauter Nerds. Alle selbstredend davon überzeugt, besonders intelligent zu sein. Für alle war es also unakzeptabel, einen Escape Room nicht zu schaffen. Daher haben wir selbstredend den schwersten genommen, den noch nie jemand geschafft hatte vor uns. Wir haben ihn auch nicht geschafft. Aber gegen den dicksten Endboss im ersten Anlauf zu verlieren ist keine Schande. Ich habe mich nachträglich geärgert, dass ich da nicht stärker gegen opponiert habe damals. Aber diese Muster greifen halt überall.
Mir fällt das gerade ein, weil in Berlin immer so Plakate aushängen, für ein Theaterstück. Es heißt "Ich bin's nicht gewesen, Adolf Hitler ists gewesen". Hier ist eine schöne Kritik von dem Stück.
Naja und eigentlich bin ich drauf gekommen, weil ich diese Meldung hier las. Das Militär vertreibt Hundertausende aus der muslimischen Hinderheit in Myanmar. Und wer ist Schuld? Facebook! Klarer Fall von: Ich war's nicht, Facebook ists gewesen!
Noch nie ist jemand gefeuert worden, weil er sich von Facebook zum Hass hat anstacheln lassen!1!! Facebook ist das neue "die Russen". Oh, Facebook war Schuld? Na dann kann man da wohl nichts machen. Dann können wir ja alle weitermachen wie bisher *achselzuck*
Ich hatte vor ner Weile ein Gespräch in einer Organisation, die angeblich von den Russen mit einem APT gehackt wurde. Die Presse so: APT!! DIE RUSSEN!!! Und der Typ so, zu mir: Nix APT, eher so Back Orifice-Style megapeinliche Uralt-Malware… Aber hey, "DIE RUSSEN HABEN UNS MIT APT GECYBERT", … dann sprach der Mann einen Satz aus, der mir bis heute im Gedächtnis geblieben ist: Damit konnten alle gut leben.
Ja, meine Damen und Herren. So läuft das.
Facebook ist Schuld.
Die Russen haben uns gecybert.
Die Reichen werden immer reicher und die Armen immer ärmer.
Damit konnten alle gut leben.
Update: Das gilt natürlich auch außerhalb der IT und der Politik, aber ich wollte Beispiele nehmen, die aus meiner Lebenserfahrung kommen. Ein Leser kommentiert:
Anderswo hört man: "Das ist der Marktführer" und meint: Das wäre er nicht, wenn er nicht besonders gut wäre und da kann man ex definitione nix falsch machen. Beispiel: Spedition. Verkackt einen Termin, Geschäft platzt, Riesenschaden. Versandleiter: "Aber XY ist der Marktführer hier!" Geschäftsführer: "Ja, dann kann man nichts machen." Zu mir: "Sie machen keine Fixtermine mehr!"
Der Angriff auf die IT-Infrastruktur der Olympischen Spiele in Pyeongchang war wohl nur eine Übung darin, anderen einen Cyberangriff in die Schuhe zu schieben. Das jedenfalls legen neue Erkenntnisse von Forschern nahe, die Zugang zu der Malware hatten.NA SOWAS! Hätte uns doch nur jemand gewarnt, dass Malware-Attribuierung Bullshit ist!1!!
Es ist natürlich auffällig, dass die Forscher, die das jetzt herausgefunden haben, selber Russen sind. Kaspersky, ausgerechnet. :-) Das macht aber die Erkenntnis nicht weniger wahr, dass Malware-Attribuierung Bullshit ist.
Two independent Israeli researchers found a way for an attacker to bypass the lock protection on Windows machines and install malware by using voice commands directed at Cortana.Hätte uns doch nur jemand gewarnt!1!!
Der Fall zeigt aber auch sehr schön, dass du mit Obfuscation nur Amateure aufhältst. Player wie Microsoft haben dann halt genug Kohle und Manpower liquide, um deinen Scheiß zu reversen. Aber als Beobachter von außen, der sich für Malware-Details normalerweise nicht die Bohne interessiert, ist es schon beeindruckend, was die da alles an Bullshit eingebaut haben, um Reversing teurer zu machen. Die haben da unter dem ersten Jump-Obfuscation-Layer eine VM mit 33 Opcodes implementiert. Und MS hat die halt alle reversed. Die nächste Schicht war dann eine Sandbox- und Debugger-Detection. Dahinter kommt dann … noch eine andere VM mit 16 eigenen Opcodes.
Microsoft war übrigens durchaus beeindruckt von der Professionalität von Finfisher:
In the past, we have seen other activity groups like LEAD employ a similar attacker technique named “proxy-library” to achieve persistence, but not with this professionalism. The said technique brings the advantage of avoiding auto-start extensibility points (ASEP) scanners and programs that checks for binaries installed as service (for the latter, the service chosen by FinFisher will show up as a clean Windows signed binary).Oh na sowas, Code Signing hat uns nicht beschützt?! Hätte uns doch nur jemand gewarnt!!1!
Aber nun wollen wir mal die Kirche im Dorf lassen. Nur weil unsere Profitmaximierung zu euren Lasten geht, heißt das ja nicht, dass unser Geschäftsmodel verwerflich ist! Nein, nein! Ihr könnt euch doch Schlangenöl installieren!11!
Für einen solchen Angriff müssen die Kriminellen allerdings erst die Schutzmaßnahmen des Seitenbetreibers umgehen und auf dem Rechner des Opfers muss es eine noch nicht behobene Sicherheitslücke geben, über die sich die Schadsoftware unbemerkt einnisten kann. Bekannte Varianten solcher Angriffe werden von Antivirensoftware allerdings entdeckt und blockiert.Wow. Fast jedes Wort in diesem Statement ist eine dreiste Lüge.
Schutzmaßnahmen?! Des Seitenbetreibers!? Die meisten Werbenetzwerke sind eigenständige, externe Firmen, mit denen der Browser dann direkt interagiert. Der Seitenbetreiber kann gar keine wirksamen Schutzmaßnahmen haben in so einer Konstellation.
Gelegentlich kann man Sicherheitslücken gar nicht beheben, weil der Hersteller der Software sich schlicht weigert, den Bug als Sicherheitsproblem anzuerkennen, oder weil die Lücke noch gar nicht bekannt ist, oder weil das Update sich wegen eines Konflikts mit dem Schlangenöl nicht installieren ließ. Oder weil der User in einer Firma arbeitet, die seine Updates für ihn managed, und damit im Verzug ist. Wieso ist jetzt plötzlich das Opfer Schuld, wenn ich mal fragen darf? Der Angriff geht von euch aus! Wieso heißt ihr eigentlich Spiegel? Weil sich das als Oberfläche so gut zum Koksen eignet?
Schadsoftware ist auch nicht nur gefährlich, wenn sie unbemerkt ist. Ransomware ist sehr gut zu bemerken. Nachdem sie die Daten verschlüsselt hat.
Und dass Antivirensoftware alle bekannten Varianten erkennt, ist auch eine offensichtliche Lüge.
Für eine Publikation, die vorgeblich der Wahrheitsfindung dient, und für die Aufklärung der mündigen Bürger arbeitet, ist das eine ganz schöne Häufung an alternativen Fakten.
Das waren bestimmt die Russen!1!!
Update: Ich lass das hier mal so stehen.
Update: Oh das wird ja noch besser! Stellt sich raus, dass Die Spiegel-Online-Anleitung zum Adblocker-Ausschalten diesen Passus enthält:
Haben Sie ein Anti-Virusprogramm installiert? Auch diese Programme können wie ein Adblocker funktionieren. Bitte prüfen Sie in den Einstellungen, ob Ihr Programm Werbeanzeigen blockiert, und erstellen Sie eine Ausnahmeregel für SPIEGEL ONLINE.
Geil! Also das Schlangenöl, das euch vor unserer Malware schützen soll, das schaltet bitte auch ab. (Danke, Jens)
Gut, dass sie da keine peinlichen Geheimnisse finden konnten, weil unsere Regierung nicht genug gearbeitet hat, um peinliche Geheimnisse zu produzieren.
Lacher am Rande:
Ausländische Hacker sind nach Informationen der Deutschen Presse-Agentur in das bislang als sicher geltende Datennetzwerk des Bundes und der Sicherheitsbehörden eingedrungen.Ja, äh, nee. Wer zu irgendeinem Netz annimmt, es sei schon sicher, ist inkompetent und sollte gefeuert werden. Erst recht, wenn das Netz von einem externen Dienstleister betrieben wird, wie T-Systems in diesem Fall.
Die Angreifer sollen Sicherheitskreisen zufolge der Gruppe "APT28" angehören, die viele Fachleute russischen Regierungsstellen zurechnen.Äh, nein. Schlangenöl-Verkäufer mit Panikschürmotiv verbreiten Ammenmärchen. Niemand hat da irgendwas zuordnen können. Es gibt da bloß unbelastbares Hörensagen aus nicht ernstzunehmenden Quellen mit kommerziellem Panikschürhintergrund.
Was für eine Farce mal wieder.
Hey, wisst ihr noch damals, als München auf Linux umgestellt wurde und von den Russen gehackt wurde? Nicht? WEIL ES NICHT PASSIERT IST. Ja warum bloß!1!!
Die Lösung für mehr Windows-Malware ist mehr Windows. Genau wie bei School Shootings in den USA. Die Lösung für mehr Gun Violence sind mehr Guns.
Update: An der Stelle sei auch an den Sony-BMG-Rootkit-Skandal erinnert.
Ad security company Confiant, the one who discovered this entire operation, says ads bought by this group reached 62% of ad-monetized websites on a weekly basis.Das finde ich ja nun wieder sehr geil. "Ad Security Company", srsly? Die Werbemafia hat noch ein Layer an Bullshit-Abgreifern in ihre Abzockkaskade eingebaut? Wow.
Those devices can’t do the job alone: users need to sign up for Cisco’s StealthWatch service and let traffic from their kit flow to a cloud-based analytics service that inspects traffic and uses self-improving machine learning algorithms to spot dodgy traffic.BINGO!!
Die Malware Protection Engine von Microsoft weist eine Schwachstelle auf, über die Angreifer Schadcode auf Computer schieben könnten.Aber nein, Fefe, das kann man so nicht sagen, dass Schlangenöl eine Angriffsoberfläche darstellt!1!! Ist alles voll harmlos! Das sind Profis, die wissen, was sie tun!
Und das krasse ist ja: Das sind echt die Profis bei Microsoft. Von den Schlangenölherstellern da draußen sind das die mit Abstand am wenigsten schlimmen.
Inhaltlich geht es darum, dass die Unis in Schweden eine Frauenquote nicht nur für ihr Personal, ihre Studenten und Sekundärliteratur haben, sondern jetzt auch für Primärliteratur. Der Artikel berichtet von einem Seminar über konservative Kritik an den Idealen der bürgerlichen Gesellschaft. Wieviele Frauen kennt ihr, die konservative Kritik an den Idealen der bürgerlichen Gesellschaft geübt haben?
Der Dozent hat daher eine innovative Lösung gefunden: Er rechnet einfach Anarchismus dazu. Das ist ja immerhin Kritik an der modernen Gesellschaft, wenn auch nicht konservative, aber hey, wollen wir mal nicht päpstlicher als der Papst sein hier!
Hat aber nicht funktioniert.
Nachdem die Leitung des politikwissenschaftlichen Instituts die Liste geprüft hatte, bestand sie darauf, es seien Werke der amerikanischen Feministin Judith Butler darin aufzunehmen. Diese hat zwar weder etwas mit Konservativismus zu tun, noch ist sie Anarchistin. Dafür aber ist sie für die von ihr etablierte Kategorie des "sozialen Geschlechts" berühmt - und die bloße Nennung ihres Namens gilt als Ausweis einer geschlechtspolitisch angemessenen Gesinnung.Ihr seht also: Es ist völlig egal, was gesagt wird. Wenn es ein Mann sagt, ist es ein anachronistisches Auslaufmodell und vergiftete Frucht des patriarchalen Baumes der Unterdrückung, und wenn es eine Frau sagt, ist es gut und wichtig und ein güldener Leitfaden der Weisheit für zukünftige Generationen.
Die Paradoxie an dieser Brechstangen-"Gleichstellung" ist ja, dass je freier die Gesellschaft wird, desto weniger haben Frauen Bock auf Männerberufe. Je weniger Druck es gibt, Familie und Privatleben einem Beruf beispielsweise im Management zu opfern, wo 80-Stunden-Wochen und Hingabe bis hin zur Aufopferung gefordert werden, desto weniger Frauen machen das. Leuchtet ja auch ein. Wenn man sich das aussuchen darf, machen die Leute das, worauf sie Bock haben. Und auf so Dauerstress haben Frauen weniger Bock, weil für sie andere Faktoren wichtiger sind als Geld in der Tasche. Nur Männer sind so doof, sich bis 50 kaputtzuarbeiten, dann mit 1-2 Millionen auf dem Konto an Herzinfarkt zu sterben und nichts davon zu haben.
Der nächste Schritt wird bestimmt noch besser. Wenn man bei der Literatur auch Asiaten und Schwarze gemäß ihrer Anteile an der Weltbevölkerung berücksichtigt. Das kann sicher nicht schaden, um den Horizont zu erweitern. Finde ich jetzt nicht abwegiger als die Frauenquote. Also los, Schweden, macht mal.
Das Money Quote aus dem Artikel ist jedenfalls das hier:
"Gleichstellung" ist deswegen ohne einen autoritären Staat nicht zu haben.Aber das ist ja auch genau der Wunsch an der Stelle. Der Ruf der Linken nach Autorität. Die Alt Right und die Ctrl Left.
Tragisch an der Sache auch:
Dabei ist es kein Zufall, dass der Einspruch gegen jene Literaturliste nicht von einer Teilnehmerin des aktuellen Seminars kam, sondern von der Studentenvertreterin in der Institutsleitung. Sie sorgte auch dafür, dass der Name Judith Butler auf die Literaturliste gesetzt wurde(Danke, Gregor)
A company analyst who manually reviewed the archive quickly determined it contained confidential material. Within a few days and at the direction of CEO and founder Eugene Kaspersky, the company deleted all materials except for the malicious binaries.Sie sagen, sie bräuchten ja die Quellen auch gar nicht für ihre Arbeit. Das stimmt zwar, aber erstens: Wer weiß, wie viele ihrer Malware-Techs da noch Zugriff hatten, und ob da jemand ein Backup gezogen hat. Zweitens: Aufgeflogen ist das ja, weil die Israelis bei Kaspersky im Netz waren. Wer weiß, wer da noch war. Und mit wem die Israelis das alles geteilt haben.Ich würde aber trotzdem Kaspersky keine Schuld geben. Deren Software hat genau das getan, was sie gesagt haben, das sie tun würde. Wenn jemand Kaspersky ein Päckchen mit Geheimdokumenten in den Briefkasten schickt, würde man ja auch nicht Kaspersky beschuldigen sondern den Leaker.
Ich habe ja noch nie unter einer Seite kommentiert, die ihre Kommentarfunktion an Disqus outgesourced hat. Ein Cloud-Startup aus den USA? Das mich site-übergreifend tracken kann? Ja nee klar, da tu ich meine Daten hin!1!! GANZ sicher nicht.
Und wo wir gerade bei Enttäuschungen waren: Firefox kommt jetzt mit Cliqz-Datenmalware. Die haben echt den Schuss nicht gehört bei Mozilla. Euer Browser ist groß, lahm, bloated, feature-arm, euren Add-On-Vorteil habt ihr euch gerade mit dem Umstieg auf Webextensions weggeschossen, und in Sachen Codequalität und Security hinkt ihr Chrome hinterher. Gerade als es anfing, nach Hoffnung zu riechen, weil sie Browserteile in Rust nachbauen und die Servo-Engine kommt, da zerschießen sie sich wieder alle gesammelten Karmapunkte, indem sie ihren Kunden ungefragt diesen Pocket-Cloud-Bullshit reindrücken. Und jetzt das.
Ich versuche ja wirklich immer und immer wieder, Firefox ihren Scheiß zu verzeihen. Ehrlich! Aber DAS? Wenn ich eine Branche nennen sollte, der ich weniger als allen anderen Branchen traue, wenn es um meine persönlichen Daten geht, noch weniger als den üblichen Unterdrückungs-Regierungsprojekten mit Kameras und Flugdatenweitergabe, dann sind es die fucking Verlage! Cliqz ist von Burda. BURDA! WTF?!
Die NSA bemüht sich ja wenigstens noch nach Kräften, die erhobenen Daten nicht wegkommen zu lassen. Aber die Verlage? Zero fucks given! Was da an Werbe- und Tracking- und Optimierungsnetzwerken eingebunden wird, da qualmt der Adblocker! Und weil das immer noch nicht unseriös genug ist, versucht uns die Burda-"Publikation" "Focus" gerade auf der Hauptseite windige Investment-Tipps überzuhelfen. Und DENEN soll ich trauen, dass sie meine Daten schützen?! GANZ sicher nicht!
Update: Warum nenne ich Cliqz Datenmalware? Habe ich mir das näher angesehen? Nein.
Es kommt per Drive-By-Download. Das reicht schon. Dazu kommt: Es lädt meine Suchanfragen in die Cloud hoch, während ich sie tippe, bevor ich Return drücke. Das alleine würde auch schon reichen. Und in dem Bug-Eintrag bei Mozilla verteidigt das jemand damit, dass es ja nicht alle Mausbewegungen aufzeichne sondern bloß wie weit man die Maus bewegt hat. Das alleine hätte auch gereicht.
OK, aber was ich eigentlich erzählen wollte: Kennt ihr das, wenn ihr euch wo aufhaltet und mit der Umgebung interagiert, und plötzlich habt ihr einen Perspektivwechsel? Ihr fühlt euch plötzlich an was erinnert? Das ist ja manchmal mehr wert als analytisches Grübeln, so ein Flash. Ich hatte zwei davon auf den ISD. Die wollte ich euch mal erzählen.
Der erste war, als ich in einem Vortrag über IEC62443 saß, und da vor mir die Folien mit den Details vorbei scrollten. Paragraph 15 Absatz 2 von Substandard 62443-5-23 heißt, dass beim Login ein eindeutige Identifizierung möglich sei. Ich will mich da nicht drüber lustig machen, aber ich hatte plötzlich das Gefühl, ich sitze bei einem D&D-Abend in einer Rollendebatte. Wer das nicht kennt: D&D ist ein Rollenspiel, da sitzen lauter Nerds um einen Tisch und nehmen gemeinsam an einer komplett herbeihalluzinierten Geschichte teil. Einer ist der Spielleiter, der hat eine Story und eine Karte vorbereitet und weiß grob, was passieren soll. Die anderen spielen Figuren in der Story. Das läuft dann so ab: Spieler 1: Ich will Paladin sein. Spieler 2: Du hast aber nur Weisheit 5! Spieler 1: Paladin braucht Charisma, nicht Weisheit!
Je nach Dialekt, den man spielt, gibt es dann endlose Regelbücher mit endlosen Tabellen für irgendwelche halluzinierten Eventualitäten. Sagen wir mal: Die Heldengruppe geht eine Treppe hinunter, und der Spielleiter sagt, dass die glitschig ist. Dann gibt es Regeln dafür, wie man (mit würfeln) entscheidet, ob die jetzt ausrutschen oder nicht. Dann kann Spieler A sagen: Gonzo hält sich an Bert fest! Und dann kann der Spielleiter sagen: Gonzo muss eine Gewandtheitsprobe machen, und Bert muss eine Probe +2 bestehen. Je nach Charakter von Spielern und Spielleiter kann man da schon mal einen Abend damit verbringen, eine Treppe hinunterzufallen. Es geht in dem Spiel darum, gemeinsam Spaß zu haben. Daher auch die Würfel. Die sollen verhindern, dass die Spieler sagen: Gonzo geht in die Höhle und haut alle Monster platt. Und dann ist das Abenteuer zuende. Die ganzen Regeln sind also eher Props für Improvisieren, an denen man sich entlang hangeln kann. Wenn man das mit guten Freunden spielt, kann das ein Mordsspaß sein.
Ich sitze also in diesem Talk über IEC 62443 und haben diesen mächtigen Flash, dass das wie D&D-Regeln ist. Das haben sich irgendwelche Leute aus dem Arsch gezogen, und es geht gar nicht um die Regeln sondern um was ganz anderes.
Und wie das so ist mit Eingebungen können die voll im Schwarzen landen, oder voll daneben. Oder irgendwo in der Mitte. Die These, dass es bei solchen Zertifikaten überhaupt nicht um die Regeln oder ihre Einhaltung geht (die schönsten D&D-Runden waren die, in denen wir die Regeln "kreativ ausgelegt" oder ganz ignoriert haben), sondern das soll den Mitspielern nur helfen, das eigentliche Ziel zu erreichen. Jetzt müsste man nur noch herausfinden, was das eigentliche Ziel ist. :-)
Wie wäre es mit: Soll mal über den Scheiß reflektiert haben? Und weil sich Leute Zeit nicht nehmen, außer man zwingt sie, zwingen wir sie jetzt halt mit endlosen Bullshit-Regularien dazu, sich mit dem Scheiß auseinanderzusetzen. Oder so.
Der zweite Flash war, als eine der AV-Buden da endlos herumschwadronierte, was sie alles über fiese Malware-Stränge und ihre Macher und Hintermänner herausrecherchiert haben.
Ich muss an der Stelle dazu sagen, dass mir das SOWAS VON EGAL ist, wer eine Lücke gegen mich ausnutzt. Ob der dafür 300 oder 40000 Dollar gezahlt hat. Ob der C&C-Kanal über IRC oder XMLRPC über Tor geht. Ist mir sowas von Latte, das glaubt ihr gar nicht. Mich interessiert, welche Lücke das ist. Wieso die da ist. Wieso die noch keiner gefunden und gefixt hat.
Ich sitze also in dem Talk über Malwareautoren-Recherchen (und ich benutze das Wort Recherche jetzt mal in einem sehr entspannten Wortsinn, weil das im Allgemeinen Kaffeesatzleserei ist), und habe plötzlich den Flash: Das ist Reality TV! Das ist wie die Kardashians hier! Leute erzählen mir irgendwelche "Fakten" über irgendwelche Promis, die ich nicht kenne, als ob das etwas ist, was mich interessieren sollte. Und ich kann mich des Eindrucks nicht erwehren, dass hier meine Zeit verplempert wird. Aber es übt auf einem sehr instinktiven Level eine gewisse Faszination aus, und Leute stehen drauf.
Das werde ich ab jetzt immer im Hinterkopf haben, wenn jemand über ISO 9000 und ähnliche Knebelregelwerke spricht. D&D. Hey, da könnte man mal eine humoristische Gegenüberstellung machen, die verschiedene dieser Standards und Zertifizierungs-Placebos mit Regelwerken aus der Rollenspielwelt vergleicht. Common Criteria EAL7 wäre dann sowas wie Rolemaster. Und wenn ich den Vortrag richtig verstanden habe, wäre IEC62443 dann Das Schwarze Auge. :-)
Keynotes sind ja eher nicht so mein Gebiet, ich mache lieber Technik oder Entertainment. Keynotes sind überhaupt eine sehr merkwürdige Art des Vortrags. Ich habe mir mal gezielt ein paar Keynotes angeguckt, um zu sehen, was da von mir erwartet wird, und das ist ein ganz eigenes Genre.
Ca ein Viertel sind so "I have a dream"-Visionen, auch partiell "We shall overcome" (hier ist ein Problem, aber wir schaffen das!1!!), die Hälfte sind so Marketing-Blablah-Geschichten und Selbstbeweihräucherung der Branche, und ein Viertel sind so "wir werden alle störben"-Doomsday-Warnungen.
Das ist alles nicht so mein Metier. Ich bin eher ein Freund von Gedankengängen mit Erkenntnisgewinn am Ende.
Wenn man sich populäre TED-Talks anguckt, dann sind die Gedankengänge von der Komplexität her immer auffällig auf Ernie-und-Bert-Niveau. Ich glaube, dass das System hat. Der Zuschauer wird nicht überfordert und kann sich bestätigen, dass er zu den oberen 50% gehört, weil er das alles schon vorher wusste. Ich habe beobachtet, dass auch immer die Vortragenden am populärsten sind, die non-threatening sind, und zwar im körperlichen wie auch im übertragenen Sinn. Wo man keine Angst haben muss, dass er Chef das sieht und sich denkt: Ich feuer meine Leute und stell lieber den ein.
Ach naja. Ich mach mir da immer viel zu viel Sorgen. Publikumsbeschimpfung geht immer. :-)
Update: Die Veranstaltung stellt sich gerade als im Wesentlichen eine Schlangenöl-Verkaufsevent heraus. Ich bin ja immer wieder fasziniert, wie die Leute "Ransomware zieht dir Geld aus der Tasche" klar unmoralisch finden, aber "Schlangenölbranche zieht dir Geld aus der Tasche" ist halt Kapitalismus.
Ein mir neuer Aspekt, der mich gerade echt flasht, ist dass die Sales-Drohnen jetzt ernsthaft mit folgender Argumentation rumlaufen: Durch die EU-Datenschutzverordnung drohen ja Strafen bis zu 4% des Jahresumsatzes. Also werden bestimmt auch die Malware-Leute anfangen, ihre Schutzgelder entsprechend hochzudrehen. Also sollten Sie das als drohenden Schaden sehen. Also müssen Sie jetzt auch soviel (oder zumindest "entsprechend mehr" Geld für unser Schlangenöl ausgeben.
Wie geil ist DAS denn?!
Update: Oh und meine Keynote lief glaube ich ganz gut. Falls jemand wissen will, worum es ging: Ich erkläre, was Externalisierung von Kosten ist (Umweltverschmutzung, Atommüll, Bankenskandal), dass das gemeinhin als unmoralisch und verwerflich gesehen wird, und stelle dann die These in den Raum, dass das Verbreiten von schlechter Software auch Externalisierung von Kosten ist. Dann erkläre ich, wie Security-Bugs auch Bugs sind, und erzähle die Anekdote, wie ich herausfand, dass Format String Bugs gefährlich sind, und in Panik meine Quellen durchging, ob ich das auch mal falsch gemacht habe. Hatte ich nicht. Weil das vor Bekanntwerden der Security-Implikationen auch schon ein Bug ist, und ich meinen Code sorgfältig geschrieben hatte. Security-Probleme sind also Pfusch, schlussfolgere ich an der Stelle.
Dann geht es mir um die Frage, wieso wir Pfusch dulden, und beobachte, dass das immer ökonomische Argumente sind. Als letzten Teil versuche ich, das ökonomische Argument für Pfusch zu demolieren. Erstens ist der Vergleich einer billigen Pfusch-Lösung mit einer ordentlichen, sicheren Lösung unlauter, weil nur die eine die Anforderungen erfüllt. Zweitens, so habe ich bisher beobachtet, kostet das gar nicht mehr, etwas ordentlich zu machen, weil einem das noch vor Produktlaunch auf die Füße fällt, wenn man bei auch nur einem der Module gepfuscht hat. Da würde ich echt gerne mal ein paar wissenschaftliche Untersuchungen zu sehen, inwieweit man das nachmessen kann. Vielleicht irre ich ja.
Update: Jahresumsatz, nicht -profit. Mach ich jedesmal falsch, weil es so ungeheuerlich ist :-)
It allows an attacker of the machine to run unsigned code in PCH on any motherboard via Skylake+. The main system can remain functional, so the user may not even suspect that his or her computer now has malware resistant to reinstalling of the OS and updating BIOS.Und sie sagen, dass auf der IME ein angepasstes MINIX läuft. Das finde ich ja nun echt ultra-gruselig. Die haben meiner Erfahrung nach Security noch nicht wirklich auf dem Radar.
For a period of time, the legitimate signed version of CCleaner 5.33 being distributed by Avast also contained a multi-stage malware payload that rode on top of the installation of CCleaner.CCleaner ist eine von diesen überflüssigen Beschäftigungstherapie-Produkten für hyperaktive Windows-User, die glauben, sie müssten periodisch ihre Registry aufräumen oder so.In reviewing the Version History page on the CCleaner download site, it appears that the affected version (5.33) was released on August 15, 2017. On September 12, 2017 version 5.34 was released. The version containing the malicious payload (5.33) was being distributed between these dates. This version was signed using a valid certificate that was issued to Piriform Ltd by Symantec and is valid through 10/10/2018.Einige Leute werden sich jetzt vielleicht fragen, ob da ein Schlangenöl-Hersteller seinen Absatz ankurbeln wollte. Hier ist das Presse-Statement des Herstellers. Der versucht nicht mal zu erklären, wie es soweit kommen konnte.At this stage, we don’t want to speculate how the unauthorized code appeared in the CCleaner software, where the attack originated from, how long it was being prepared and who stood behind it. The investigation is still ongoing.Oh ach so. Ihr ermittelt noch. Da na bin ich ja mal gespannt, was da rauskommt!1!!
a group of researchers from the University of Washington has shown for the first time that it’s possible to encode malicious software into physical strands of DNA, so that when a gene sequencer analyzes it the resulting data becomes a program that corrupts gene-sequencing software and takes control of the underlying computer.Und früher lachten wir noch, wenn Leute Computerviren und biologische Viren verwechselt haben.
JA SUPER INTEL! Hätte euch doch nur jemand gewarnt!1!!
Received: from fsmsg0220.sp.f-secure.com (46.228.130.170)
by ptrace.fefe.de with SMTP; 30 May 2017 23:42:12 -0000
Subject: RE: Urgent
X-Proofpoint-SPF-Result: softfail
X-Proofpoint-SPF-Record: v=spf1 mx a a:spf.protection.outlook.com
a:fsmsg0219.sp.f-secure.com
a:fsmsg0220.sp.f-secure.com ~all
X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 spamscore=0
suspectscore=0
malwarescore=0 phishscore=0 adultscore=0 bulkscore=0 classifier=spam
adjust=0 reason=mlx scancount=1 engine=8.0.1-1703280000
definitions=main-1705300429
You have been picked for a $47M USD confidential business proposal, email
(chaofang@rogers.com) for more details
Die Doppelpackung Schlangenöl! F-Secure verkauft "Antivirus"-Schlangenöl und die setzen anscheinend erfolglos dieses Proofpoint-Schlangenöl für die Spambekämpfung ein. Laut Wikipedia gegründet von einem Schlips von Netscape Communications. Da weiß man, was man hat!
[Bahnchef Lutz] betonte mit Blick auf den weltweiten Hackerangriff vom Freitagabend, das Unternehmen sei auf solche Bedrohungen vorbereitet. "Die Sicherheit des Bahnverkehrs war zu jedem Zeitpunkt gewährleistet." Es gebe schon seit längerem ein Cyber-Security-Team sowie Systeme zur Früherkennung. Darüber hinaus kündigte er eine Sicherheitsoffensive an.Ooohhhh, aaahhh, Sicherheitsoffensive! Da bin ich mal gespannt! Was will der Bahnchef denn tun, um in Zukunft massive Malware-Unterwanderung auszuschließen?
Kommt ihr NIE drauf!
Nach seinen Angaben sollen mehr als 7000 zusätzliche Kameras an mehr als tausend Bahnhöfen installiert werden.Kannste dir gar nicht ausdenken, sowas.
Laufen die Überwachungskameras eigentlich auch alle unter Windows und haben IP-Anschluss?
Ich hoffe, da hat die Bahn immer schön Schlangenöl ausgerollt!1!!
Update: Hups, Tweet ist wieder weg. Mehr als den Tweet hatte ich auch nicht dazu.
Update: Lutz Donnerhacke dazu:
Der Killswitch ist kein Killswitch, sondern eine primitive Anti-Debug Maßnahme. In der Sandbox werden üblicherweise alle extenen Kommunikationen umgelenkt. Er testet also nur auf das Vorhandensein einer Analyse-Sandbox.
Zum Tweet ... Dort wurden verschiedene Teile der Malware miteinander verglichen, nicht verschiedene Versionen. Als er das nach einigen Minuten bemerkt hatte, hat er den Tweet gelöscht.
Empfehle doch allen Lesern, Resolverlogs und Firewalllogs nach der Domain oder deren Auflösung zu durchsuchen. Das zeigt auch inaktive Installationen.
Die Empfehlung reiche ich gerne weiter.
The second argument to InternetOpenA is 1 (INTERNET_OPEN_TYPE_DIRECT), so the worm will still work on any system that requires a proxy to access the Internet, which is the case on the majority of corporate networks.Einmal mit Profis arbeiten! Zu blöde zum Killswitch-Programmieren!1!!
Und die Punchline:
Security experts say the tool exploited a vulnerability that was discovered and developed by the National Security Agency of the United States.Voll die Security, die diese Agency schafft, wa?Und die Krankenhäuser sind nicht alles:
Hackers using a tool stolen from the United States government conducted extensive cyberattacks on Friday that hit dozens of countries around the world, severely disrupting Britain’s public health system and wreaking havoc on computers elsewhere, including Russia.Apropos Ransomware: Screenshot aus der S-Bahn Frankfurt.
Mir wird ja immer ganz schlecht, wenn ich mir vorstelle, wieviele Milliarden sinnlos als Lizenzgebühren für Windows auf solchen Info-Bildschirme ausgegeben wird.
Update: Ihr werdet jetzt sicher genau so schockiert sein wie ich, dass Virustotal eine 0% Erkennungsrate ausweist. Wie jetzt, Schlangenöl hilft nicht?! Fürs Archiv: Virustotal-Screenshot. Und wenn die AV-Hersteller wieder was von Behavior-Voodoo und Cloud-Magie erzählen, zeigt ihnen dieses Foto von einem Lab in einer Uni, bei der die Rechner der Reihe nach umkippen. Hier ist ein relativ apokalyptischer Feed. In Russland sind u.a. ne dicke Telco und das Innenministerium betroffen. Ja, äh, Leute, habt ihr alle noch nie von Patchen gehört!?
Hier gibt es übrigens Full Spectrum Cyber Pew Pew, falls ihr auf Wargames steht. Also den 80ies-Film jetzt.
Update: Bei diesem Dropper sehen die Erkennungsraten inzwischen schon besser aus, 32 von 62.
Update: Wer sein Full Spectrum Cyber auf wannacrypt eingeschränkt haben will: Übersicht.
Update: #ThanksObama!
Update: OH:
I can confirm FedEx was hit at an enterprise level. All computers to be shut down until Monday.
Ich bin mir fast sicher, dass Deutschland flächendeckend betroffen ist, aber alle schon im Wochenende waren, als die Fäkalien den Deckenventilator trafen.
Update: Diese Ransomware verbreitet sich im Intranet übrigens über die SMB-Lücke fort, die ich in den IoT-Folien als Belege dafür zitiert habe, dass die etablierten Sicherheitsexperten auch nicht wissen, wie man sichere Software schreibt. Das ist jetzt der 10. oder so Fall seit Anfang der Heise-Tour, dass eine Meldung kommt, die mir gerade zu 100% in die Argumentation passt. Ich fürchte mich gerade davor, da mein Karma auf Jahre hinaus verbraucht zu haben. Da muss ich dann wohl bald mal wieder einen Perl- oder PHP-Audit machen, um wieder Karma aufzubauen.
Update: Wannacrypt hatte einen DNS-basierten Kill-Switch drin. Der hat eine bestimmte Domain aufgelöst, und wenn die da ist, dann verbreitet er sich nicht weiter. Ein Typ hat das gesehen und die Domain registriert und da schlugen sofort tausende von Zugriffen auf.
Konkret ist da so ein System-Tray-Dingens bei, das auch auf bestimmte Sondertasten mancher Tastaturen reagieren soll, wie die Lautstärke-Regel-Tasten. Das haben die implementiert über einen Hook, und der kriegt dann natürlich alle Tastendrücke rein. Allerdings haben sie aus dem Treiber anscheinend die Debugging-Funktionalität nicht entfernt, und so fallen die Scancodes in einem Logfile im Dateisystem raus, auf das alle User Lesezugriff haben. JA SUPER!
Das sieht jetzt nicht wie böse gemeint aus, aber das finde ich an der Stelle kein relevantes Kriterium. Solcher Code wird von keiner Qualitätssicherung erkannt, und HP merkt jahrelang auch nichts sondern reicht das schlicht durch. Als ob die nicht zuständig wären, nur weil der Treiber von einem Drittanbieter kommt!
Oh und natürlich hat das auch kein Antivirus erkannt. Auch nicht die proaktiven verhaltensbasierten Module, mit denen sich die Hersteller gerade rauszureden versuchen, dass ihre Signaturen wertlos sind. Das ist jetzt keine klassische Malware, aber es ist ein schönes Beispiel, bei dem sich mal jeder Gedanken machen kann, was man von so einer verhaltensbasierten Malware-Erkennung eigentlich für eine Erwartungshaltung hat bzw. realistisch haben kann.
Update: Heise darüber
Aber das ist eine Grenzüberschreitung für mich. Ich würde mein Laptop nicht aus der Hand geben wollen. Gar nicht weil ich damit arbeiten will, sondern weil das Gepäck-Personal an Flughäfen häufig nicht gut bezahlt wird, weil eingechecktes Gepäck möglicherweise verlorengeht und nachgeschickt werden muss (und ich dann immer ein-zwei Tage früher anreisen müsste, um sicher arbeiten zu können in der vereinbarten Zeit), und weil ich dem Zoll und den Geheimdiensten nicht glaube, dass sie mein Laptop nicht verwanzen oder Malware einzubringen versuchen oder nen Backup der Platte ziehen oder so.
Update: Ein Erfahrungsbericht eines Einsenders:
eine kleine Anektode zu dem Laptopthema. Mir wurde vor einem halben Jahr auf einem innereuropäischen Flug mit Umsteigen der Privatlaptop aus dem aufgegebenen Gepäck gestohlen. Seither habe ich unzählige Emails an die beiden involvierten Fluggesellschaften geschrieben. Weder die eine noch die andere Fluggesellschaft will es gewesen sein (gehören beide zum gleichen dt. Mutterkonzern). Gebracht hat es mir bislang nichts, außer dass ich mich jetzt mit diversen Einrichtungen wie der SÖP (Schlichtungsstelle für den öffentlichen Personenverkehr) auskenne und weiß, dass das aufgegebene Gepäck nur bis zu EUR 1300 versichert ist. Das bekommt man also höchstens zurück, sollte das Gepäckstück verloren gehen oder in irgendeiner Art und Weise beschädigt werden.
Das reicht zwar für die meisten Laptops aber diese Höchstgrenze muss man auch erst mal kennen.
Update: Die Malware wurde übrigens von keinem Schlangenöl gefunden.
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Wenn das Geld erstmal im Ausland ist, wird es, erzählte er, skriptgesteuert innerhalb von Minuten auf hunderte von anderen Konten verschoben, und es sei aussichtslos, da irgendwas zurück zu holen. Ähnlich sieht es bei vielen Online-Delikten aus.
Bei der Ursachenforschung verglich er dann die Technik von vor 30 Jahren ("Telefonzelle, Bibliothek, Telefonbuch") mit der von heute, und stellte dann die Anzahl der vorgeschriebenen Informatikstunden von vor 30 Jahren und heute gegenüber — beide 0. Dem gegenüber stehen sowas wie 70 Stunden für Theater (wir reden von Pflichtstunden in einem Hamburger Gymnasium), und natürlich Musik und Sport. Er fand, dass auch Informatik Pflicht sein sollte, oder sagen wir mal IT-Grundwissen, zumal ja der Auslöser bei den meisten Online-Geschichten eine Aktion des Users ist — Klick auf Attachment, Spam geöffnet, etc. Da müsse man eben auch in der Bekämpfung beim User ansetzen.
Der Vortrag war super, und ich hoffe, dass die Folien im Web auftauchen werden. Mal gucken, ob ich da vielleicht sogar zu beitragen kann.
Den es gab da noch einen echten Hammer in diesem Vortrag, nämlich wieso die Cybercrime-Deliktzahl der Kriminalstatistik zurückgeht. Das liegt daran, dass 2014 die Grafik total Scheiße aussah, nach exponentiellem Wachstum. Also hat man die Bemessungsgrundlage geändert, also eine manipulative Statistik erstellt. Und zwar tauchen jetzt nur noch Cybercrime-Delikte in der Statistik auf, wenn nachgewiesen wird, dass die Malware von deinem deutschen Server kam (und dafür reicht nicht als Anscheinsbeweis, dass die IP in Deutschland liegt!) Tjahaa, meine Damen und Herren, da wollte wohl jemand dringend in der Statistik nachweisen, dass das neue gemeinsame Cyberabwehrzentrum effektiv ist…?
Sympathischerweise hat er das extra herausgestellt, dass hier die Bemessungsgrundlage geändert wurde, anstatt sich mit der für seine Behörde ja positiv aussehenden Statistik zu brüsten. Ich fand den Vortrag insgesamt super und kann größeren Hamburger Firmen nur raten, sich mal an das ZAC vom LKA zu wenden und den mal einzuladen. Der rennt sozusagen hauptberuflich rum und spricht mit Firmen, Aufklärung und Hilfe. Kostet auch nichts, deren Hilfe in Anspruch zu nehmen. Und das ist ja immer noch mal was anderes, wenn der Chef das von der Polizei erzählt kriegt, dass sich da mal was ändern muss, als vom eigenen Admin, dem er eh nicht viel beimisst.
Ein weiteres Highlight in dem Vortrag war auch, wie wenig die Polizeien miteinander reden, und dass bei einer Malware-Schleuder schon mal passieren kann, dass 10 verschiedene Polizeien aus verschiedenen Bundesländern den selben Server zu beschlagnahmen versuchen. Ganz großes Kino.
Aber die geradezu mechanische Verlässlichkeit, dass die Leute bei anderen grundsätzlich annehmen, dass sie weniger Ahnung als sie selber haben, das empfinde ich als sehr belustigend.
Beim Frühstücksgespräch fiel heute noch auf, dass ein möglicherweise zentraler Punkt der Malware-Debatte die Annahme ist, dass die Antiviren ja möglicherweise doch helfen. Aber was ist denn dafür die Datenbasis? Die Angaben der Antiviren selbst! Und die melden, das wird ja inzwischen wohl jedem aufgefallen sein, jeden Tracking-Cookie und jeden Portscan als Angriff. Die haben ein wirtschaftliches Interesse daran, ihre Effektivität möglichst aufzubauschen.
Und wenn der Antivirus in der Mail 10 Malware-Attachments findet, unter Spam-Mails, auf die eh niemand geklickt hätte, dann muss man da auch mal einen Schritt zurück treten und das mit ein bisschen Abstand betrachten, ob hier tatsächlich ein Nutzen vorliegt.
Im Übrigen gibt es da noch einen Aspekt, der nicht direkt Kern der Antivirus-Debatte ist, aber der schon reinspielt: Menschen möchten gerne Verantwortung loswerden. In Firmen habe ich schon ein paar Mal erlebt, dass Kunden schlechte Laune bekamen, wenn ich in einem Report Risiken ansprach, von denen sie zwar wussten, aber die sie selbst einfach nicht ansprachen. Die hatten dann die Hoffnung, dass sie im Zweifelsfall sagen können, sie seien nie über die Risiken informiert worden. Menschen möchten sich gerne für kritische Situationen eine Hintertür offenhalten. Und für den Fall "mein PC diente den Russen als Spionagewerkzeug gegen unsere Firma" ist die Installation eines (unwirksamen) Antivirus eben eine nahezu ideale Hintertür. Vergleichsweise billig (schaut euch mal an, was große Firmen für IDS/IPS und SIEM ausgeben!), und es musste noch nie einer in den Knast, weil er trotz Antivirus einen Virus eingefangen hatte. Dem gegenüber steht, dass einem vor Gericht durchaus negativ ausgelegt werden wird, wenn man keinen oder einen nicht aktuellen Antivirus installiert hatte. Die Wahl ist offensichtlich!
Es kommt auch vor, dass Mitarbeiter in Firmen Schulungen verweigern, die ihnen sicheren Umgang mit dem Rechner beibringen wollen, weil sie fürchten, dann in die Haftung zu kommen. Denen erscheint es als bessere Alternative, als ignorant und lernresistent zu erscheinen.
Und ein weiterer Aspekt, der da auch reinspielt: Wenn ich eine Schutzsoftware habe, selbst wenn deren Nutzen nur eine Halluzination ist, dann kann ich doch viel stressärmer auf Pornoseiten und Tauschbörsen herumklicken, und alle E-Mail-Anhänge öffnen! Und wenn ich mir dann eine Malware einfange, dann bin ich nicht Schuld! Klar bin ich dann wie Wally bei Dilbert, aber damit können viele Leute offenbar hervorragend leben.
Update: Nehmen wir mal an, 50 Viren gehen auf meinen PC los. Szenario 1: Ich habe keinen Antivirus und 10 kommen durch. Einer mailt meine Daten nach Russland, einer löscht mir die Platte. Einer löscht die gelöschte Platte nochmal. Szenario 2: Ich habe einen Antivirus und 2 kommen durch. Einer mailt meine Daten nach Russland, einer löscht mir die Platte. Mir erschließt sich ja nicht, wie irgendjemand Szenario 2 besser finden kann als Szenario 1. Ein durchgekommener Virus reicht doch für einen Totalschaden! Kann ich nicht nachvollziehen, die Denke.
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
New hotness: node.js im Nvidia-Treiber für Windows sorgt für Privilege Escalation!
"NvNode", "NVIDIA Web Helper Service". Mir kommt das Frühstück wieder hoch. Das vom Januar. (Danke, Rudolf)
Dann solltet ihr mal auf die Kreditkartenabrechnungen seit dem gucken. (Danke, Gerry)
Fehlt nur noch die CIA und die Russen und die Chinesen zu einer zünftigen Verschwörungstheorie! Amateure!
So Leute, die einem Sätze sagen wie
Wenn Malware da war, haben wir die noch immer gefunden!Das hat mir jetzt so wörtlich niemand geschrieben, aber es klang ein paar Mal durch. Die Aussage sollte man sich direkt ausdrucken und über das Klo hängen. Die bringt das Problem wunderschön auf den Punkt.
Ich habe ja wirklich Angst davor, dass eines Tages mal mir irgendjemand was vorwirft, und dann das Gericht einen "Forensiker" beauftragt, und der zu inkompetent ist, meine Unschuld zu beweisen.
Es kommt vor allem immer das Komplexitätsargument. Aber aber aber es ist doch total schwierig, die ganzen verschiedenen Spuren alle falsch zu legen! Ja und? Ist im Casino Karten zählen etwa unkomplex und einfach? Und trotzdem machen das Leute! Oder dieses manipulierte Mobiltelefon neulich!
Du kannst nicht einfach davon ausgehen, dass die Angreifer weniger kompetent sein werden als du. Klar, die meisten Angreifer geben sich nicht viel Mühe, wenn sie es nicht müssen. Aber das sind auch nicht die, vor denen du dir Sorgen machen solltest!
In der Tat ist es mir in den letzten zehn Jahren etwa einmal pro Jahr untergekommen, dass KiPo auf Rechnern vorhanden war, die nicht durch den Besitzer da hingesurft wurde.Zur Deanonymisierung lasse ich mal weitere Details mit konkreten Zahlen weg, aber ich wollte doch noch mal wissen, wie viel Fälle mit "KiPo" es denn insgesamt so gab, um die Quote einschätzen zu können. Antwort: Es gab insgesamt ~75 Fälle, davon 10 untergeschoben.Diese Faelle gibt es wirklich, sie werden nur nicht so breit getreten, weil es ja keinen Praesidenten betrifft, sondern Klaus Meier aus der Buchhaltung.
In einem Großteil der Faelle war Malware dafuer verantwortlich (und zwar sehr offensichtlich)
DAS finde ich ja mal eine ECHT krasse Quote. Und während ich zu meinem Rant stehe, und behaupte, dass auch entlastende digitale Indizien grundsätzlich fälschbar sind, freut es mich, wenn in der Praxis überhaupt in die Richtung untersucht wird, und nicht einfach "oooooh, böse Bilder, ab in den Knast" gemacht wird. Im Zweifel für den Angeklagten. Vielen Dank an den Einsender, und wenn sich sonst noch wer aus der Branche mal erleichtern will: Mein Ohr ist offen :-)
Die denkbaren Möglichkeiten sind vielfältig und ich fand das Argument immer sehr überzeugend, aber es gibt so wenig Fälle, wo das mach nachweislich passiert ist.
Oooooder der Präsident sollte mal in den Knast. Digitale Spurensicherung ist Schlangenöl-Bullshit, genau so wenig wie man Malware attribuieren kann. Jede "Spur", die ein "Forensiker" findet, kann auch ein fieser Hacker da extra hingelegt haben. Wenn ein Gerät einmal kompromittiert ist, kann man "Spuren" von diesem Gerät nicht mehr ernst nehmen. Nun gibt es in diesem Fall keine Details, was für Spuren sie ausgewertet haben — möglicherweise sind das ja Spuren in Drittsystemen wie dem Proxy oder der Firewall oder so. Ergebnis der Untersuchungen:
IT-Fachleute des Präsidialamtes hätten den Angriff bis in den US-Bundesstaat Alabama zurückverfolgt.Hmm, USA? Alabama? Klingt ja nicht sehr vertrauenswürdig. Sicher, dass das nicht die Russen waren, die sonst immer die Schuld kriegen an Hackerangriffen?
Zeman gilt als islamkritisch und russlandfreundlich.Oh ach so. Never mind.
Da ist auch ein PDF zu geleaked, und die Details sind durchaus interessant. Beispielsweise:
All tools must utilize Operating System (OS) provided cryptographic primitives where available (e.g., Microsoft CryptoAPI-NG, OpenSSL, PolarSSL, GnuTLS, etc).Dass sie da Polarssl und Gnutls explizit nennen, finde ich erstaunlich. Auch generell ist das nicht unbedingt ein guter Ratschlag, denn wenn du von irgendeinem gammeligen Schrott-Debian oder Embedded Höllendevice mit OpenSSL 0.98 Daten exfiltrieren willst, dann erscheint es schon ratsam, da lieber nicht die Krypto zu nehmen, die vom OS kommt. Ich sage nur Heartbleed und erinnere an das Debian Weak Key Massaker.
Messages should be compressed prior to encryption.Die Begründung ist: Weniger Clear Text, weniger Angriffsoberfläche. Stimmt auch, aber bei TLS schaltet man im Allgemeinen das Compression-Feature absichtlich ab, weil es da mal ein Problem gab. Die CIA sagt jetzt nicht, man soll das anschalten. Aber es steht auch nicht explizit da, dass man es nicht anschalten soll. Von einem Papier, dessen expliziter Existenzgrund ist, Verwirrung zu verringern, hätte ich das erwartet.Tools should perform key exchange exactly once per connection. Many algorithms have weaknesses during key exchange and the volume of data expected during a given connection does not meet the threshold where a re-key is required. To reiterate, re-keying is not recommended.Das ist so m.W. eine eher selten ausgesprochene Empfehlung. Ich finde ihre Begründung jetzt nicht absurd. Da müsste man mal drüber diskutieren. SSH macht z.B. automatisch Re-Keying nach einer Stunde oder so (einstellbar). Mein Bauchgefühl wäre: Wenn ein Bug im Key Exchange ist, dann wäre der auch im initialen Key-Exchange, nicht nur im Re-Keying.Spannend ist auch dieses Detail bei der Collection Encryption Suite, das ist ihre Empfehlung für die Verschlüsselung von abgehörten Daten, die sie irgendwo abgefangen haben, die aber unterwegs auf irgendwelchen unvertrauenswürdigen Wegen zu ihnen kommen. Da nennen sie als Beispiel:
The Collection Encryption Suite is intended to safeguard collected information as it resides temporarily on an untrusted file system or as it transits a file-oriented communication mechanism (e.g., gap jumpers, bit torrent, HTTP post, etc.).Oh, ach? Die CIA benutzt Bittorrent für den Transport ihrer abgehörten Daten? Das ist ja mal unerwartet.Unten in der Kommentar-Abteilung wird es nochmal spannend. Da sagen sie nämlich explizit, dass sie nicht als Ausrede gegen die Benutzung der installierten OS-Krypto gelten lassen, dass die jemand gehackt haben könnte (ein anderer Geheimdienst beispielsweise):
In particular, the justification that an attacker might hook the OS provided cryptographic API to perform reverse engineering of the implant is not acceptable; any service (including execution) provided by the OS may be subverted and the security of a proven library outweighs the risk of attack.Das ist nicht von der Hand zu weisen. Einzige Ausnahme ist, wenn man Windows XP angreifen will. Nein, wirklich! Denn XP kommt mit oller Gammel-Krypto, die nicht gut genug ist, um ihren Mindestanforderungen zu genügen. Da soll man dann halt ein OpenSSL statisch reinlinken.SHA1 hat die CIA intern übrigens schon länger verboten.
Interessant ist auch, dass die CIA sagt, wenn du ein File exfiltrieren willst, und du machst Krypto und nen Hash für die Integrität drüber, dann machst du den Hash bittesehr über den Ciphertext, nicht über den Plaintext. Begründung: Wenn ein ausländischer Geheimdienst das per SIGINT mitschnüffelt, könnte er den Hash sonst gegen alle Dateien auf dem System vergleichen und so sehen, welche Datei wir exfiltriert haben. Hier ist der Absatz:
The digest is calculated over the ciphertext vice plaintext in order to protect against a SIGINT actor with access to a compromised host obtaining any information about the transfer. Using the example of an exfiltrated file (and depending on communication protocols) it is possible that a SIGINT actor could compare the hash value of every file on the compromised host to the intercepted message and thereby determine which file was exfiltrated. Calculating the digest over the ciphertext eliminates this possible information leakage without altering difficulty of implementation. See also the various debates about Encrypt-and-MAC, MAC-then-Encrypt, and Encrypt-then-MAC. The IV is authenticated by the digest in order to prevent a manipulated IV from flipping bits in the first block of the plaintext upon decryption under certain modes.Da bin ich mal gespannt, was die Crypto-Community dazu sagt. Das klingt für mich nach grobem Unfug; daher nimmt man ja nen MAC, keinen tumben Digest. Aber hey, ich bin kein professioneller Kryptologe.In einem Absatz schreiben sie explizit vor, dass ihre innere Authentisierung nicht auf Basis von irgendwelchem gammeligen Root-CAs stattfinden darf, sondern auf einer hard-coded List von CIA- CAs basieren muss. Begründung in den Fußnoten:
This makes tool X very valuable in those countries known to routinely MitM SSL (e.g., China, Iran, and other hard targets).HARR HARRDie letzte Fußnote hat auch das letzte Highlight:
One novel technique seen in the wild and provided purely as an example of a clever solution is the Random Decryption Algorithm (RDA) technique whereby a piece of malware does not possess the decryption key for its own main execution component. This malware is designed to brute force the decryption key, a process that can take several hours on modern hardware and has the added benefit of extreme resiliency to polymorphic detection heuristics and static scanning. Authors who believe they have a particularly novel approach are encouraged to contact the OCRB for a detailed discussion.Das ist in der Tat eine seit ~12 Jahren diskutierte Technik aus der Virusentwicklung :-)
Added feature to prevent updates (an iptables rule — ported iptables application to this platform).Von welcher Plattform reden wir hier? Von Samsung-"Smart"-Fernsehern. Deren Malware implementiert einen "Fake-Off"-Modus, bei dem das Raum-Audio weiter mitgeschnitten wird.Schon toll, dieses IoT! Was das für Möglichkeiten eröffnet!
Update: Der beste Beitrag zum Fernseher-Abhören kommt ausgerechnet von Kimble. o_O
Die Story ist, nach den Leuten bei Supermicro, die ich kenne, ein wenig anders.Supermicro stellt BIOS-Updates auf einem FTP (sic!) Server bereit. Darunter auch BIOS-Updates für Komponenten Dritter, hier eine Netzwerkkarte.
Apple hatte Probleme mit dem BIOS (nicht nach Malware gesucht), wurde nach Seriennummern gefragt und gab Nonsens-Antworten. Das hat tiefere Investigation getriggert und daraufhin die Story in dem Artikel. »Ich bin einigermaßen erstaunt, dass Apple Resourcen aufwendet, um die BIOSse von ihren Servern auf Malware zu prüfen.« Du kannst zu Deinem gewohnten Weltbild zurück kehren, tun sie nicht (also, jetzt eventuell schon).
Interessanter hier ist: Wir haben Trusted Whatever, Secure Boot, Blah, Keys bei Microsoft, aber wir haben immer noch keine Versionierung und Signierung von BIOS Updates, keine gesicherten Transportwege und einen Scheiß von Code-Review bei diesem Zeugs (oder bei Qualcomm Radio-BLOBs in Android Phones).
Auf der einen Seite sehr erfreulich, dass sowas mal Konsequenzen für den Zulieferer hat und nicht alle bloß mit den Schultern zucken. Auf der anderen Seite: In was für einer Welt leben wir hier eigentlich!?
Details aus dem Update bei Ars Technica:
The firmware, according to the source, was downloaded directly from Supermicro's support site—and that firmware is still hosted there.Ich bin einigermaßen erstaunt, dass Apple Resourcen aufwendet, um die BIOSse von ihren Servern auf Malware zu prüfen.
There is little consensus within the security community on whether HTTPS interception is acceptable. On the one hand, Chrome and Firefox have provided tacit approval by allowing locally installed roots to bypass key pinning restrictionsWait, what?! Wahrscheinlich weil sonst das Schlangenöl alles kaputtmachen würde, oder wie? Hey macht ja nichts, wenn wir damit Malware Tür und Tor öffnen, Hauptsache Schlangenöl schlängelt schön!
In 2016, we took down 1.7 billion ads that violated our advertising policies, more than double the amount of bad ads we took down in 2015.[…]
For example, in July we introduced a policy to ban ads for payday loans, which often result in unaffordable payments and high default rates for users. In the six months since launching this policy, we disabled more than 5 million payday loan ads.
[…]
For example, “trick to click" ads often appear as system warnings to deceive users into clicking on them, not realizing they are often downloading harmful software or malware. In 2016, our systems detected and disabled a total of 112 million ads for “trick to click,” 6X more than in 2015.
Das ist natürlich trotzdem immer noch ein Kampf gegen Windmühlen, denn solange Software Dinge entscheidet, wird es Wege geben, sich an den Regeln vorbeizumogeln. Dennoch:We disabled more than 68 million bad ads for healthcare violations […] took down more than 17 million bad ads for illegal gambling violations […] took down nearly 80 million bad ads for deceiving, misleading and shocking usersUnd besonders spannend ist natürlich, was sie gegen Klickbetrug tun. Also nicht spannend für die Enduser aber für ihre Werbekunden. Und auch dort gibt es Fortschritte:in 2016, our systems detected and disabled more than 23,000 self-clicking ads […] took down almost 7 million bad ads for intentionally attempting to trick our detection systemsAber die krasseste ist das hier:We took action on more than 15,000 sites for unwanted software and disabled 900,000 ads for containing malware
Jetzt kann doch jemand mit Gewinnerzielungsabsicht urheberrechtsverletzende Werbung schalten und dann die Webseiten in Anspruch nehmen!
Oder übersehe ich da was?
Und wenn Webseiten für Urheberrechtsverletzungen bei Dritten haften, dann doch sicher auch für Malware! Wir können also endlich die Verlage für die Malware in Anspruch nehmen, die über deren Werbenetzwerke verbreitet wird!
Vielleicht wird Ransomware damit zu einer Art Geschäftsmodell, aber nicht nur für den Erpresser sondern auch für den Erpressten. Der kann sich ja die Kohle von dem Verlag zurückholen, der ihm die Malware-Werbung eingeblendet hat!
Oder übersehe ich da was?
Lohnt es sich ab heute, auf so viele schmierige Internetbanner wie möglich zu klicken?
Update: Ist das eigentlich transitiv? Wenn das über eine Kette von Werbenetzwerken geht, kann ich die dann alle der Reihe nach in Anspruch nehmen?
Update: Ein Einsender schlägt vor, die Leistungsschutzrecht-Verfechter zu priorisieren.
Promon researchers have discovered that the Tesla app keeps this token in a plaintext file, in the app's "sandbox" folder. An attacker can read this token if he has access to the user's phone.
In all, the FBI obtained over 8,000 IP addresses, and hacked computers in 120 different countries, according to a transcript from a recent evidentiary hearing in a related case.Nun fragt ihr euch vielleicht: Hey, einen Durchsuchungsbeschluss für 8000 Rechner zu kriegen, und das auch noch in anderen Ländern, das war doch bestimmt sehr schwierig? Eigentlich geht das überhaupt nicht, in anderen Ländern böse Dinge zu tun. Man stelle sich mal vor, die deutsche Polizei stellt sich an die Grenze zu Polen und ballert auf der anderen Seite der Grenze Menschen nieder!Aber ich kann euch beruhigen. Das war alles voll legal. Das FBI hatte einen Durchsuchungsbeschluss. Ja, einen. Nicht pro Opfer. Insgesamt. Und damit fühlten sie sich legitimiert, in 120 Ländern 8000 Rechner aufzumachen.
Der beste Rechtstaat, den man für Geld kaufen kann!1!!
Unsealed Warrant Shows FBI Malware Affected Innocent Tor Users While Agency Ran More Than 20 Child Porn Sites
Fühlt ihr euch auch so gut von der Polizei vor den Kriminellen geschützt?
Überlegt euch mal selbst, was das über die Attribuierbarkeit von Cyberangriffen und Malware aussagt.
Ich weiß, was Sie jetzt denken, und Sie haben Recht. Hätte uns das nur früher schon jemand gesagt!1!!
Nach einer anderen Lesart könnten Ermittlungen auf den Bahamas dazu geführt haben, dass Assanges Internet-Kommunikation gekappt oder gar seine Rechner einkassiert wurden. Über eine Dating-Plattform für Frauen soll Assange eine Frau kennengelernt und ermutigt haben, ihre acht Jahre alte Schwester an einem Sex-Chat zu beteiligen.WTF, Julian! Genauere Details gibt es hier:
On September 28 this year a Canadian family holidaying in the Bahamas reported to the police that their 8-year-old daughter was “sexually molested online” by Assange on Toddandclare.com, including propositioning her “to perform oral and anal sex acts.” She was presumably accessing the site through her 22-year-old sister’s account. Whether these chats were recorded or not isn’t clear but the family claims they identified Assange.Nun, wie üblich bei solchen Anschuldigungen: Es gilt die Unschuldsvermutung. Wer den Amerikanern im Weg steht, gegen den gibt es eben sexuelle Vorwürfe, das benutzen die ja auch gegeneinander im Wahlkampf.Ich für meinen Teil finde ja ausgesprochen unterhaltsam, wie sich die Allianzen ändern mit der Zeit. Die Republikaner fanden Wikileaks anfangs toll, als es gegen andere korrupte Regimes ging, dann war Wikileaks der Antichrist, als sie US-Geheimnisse aufdeckten, und jetzt ist Wikileaks wieder der beste Freund, weil es gegen Hillary geht. Trump hat sich ja im Wahlkampf sogar zu einem "I love Wikileaks" hinreißen lassen. Mal sehen, wie lange das hält. Ich tippe: Bis Wikileaks ein paar E-Mails aus dem Trump-Camp leakt. :-)
Update: Wikileaks hat eine Timeline veröffentlicht.
Ich kann das jetzt nicht beurteilen, aber dass das aus Wikileaks' Timeline-Perspektive wie eine lupenreine Geheimdienstaktion aussehen würde, war irgendwie klar. Auf der anderen Seite kann ich mir nicht vorstellen, dass Julian auf seiner letzten Lebenslinie irgendwas machen würde, was seinen Internetzugang gefährden würde. Und wenn es im Internet an irgendwas keine Knappheit gibt, dann an Pornographie. Wenn es also ein Bedürfnis gibt, für das Julian im Internet kein Risiko (außer Malware-Einfangen) eingehen muss, dann wäre es das. Das passt alles nicht.
Update: Ein Hinweis noch. Wenn jemand behauptet, die Gegenseite in einem Video wiedererkannt zu haben, solltet ihr immer diese Forschungsergebnisse denken. Oh und wenn es jemanden gibt, der den Wert von Privatsphäre verstanden hat, und von dem ich nicht glauben würde, dass er mit irgendwelchen Leuten im Internet Videochats macht, und dabei kompromittierende Beweismittel hinterlassen würde, dann ist das Julian Assange. Besonders wenn es um Sexvorwürfe geht. Solche haben ihn ja in seine aktuelle Situation mit der Botschaft gebracht.
Sorry, aber das ist Tom&Jerry-Niveau. Sowas kann vielleicht die Muppetshow bringen. Hallo McFly? Jemand zuhause?
Like many enterprises, financial institutions depend upon the ability to decrypt TLS traffic to implement data loss protection, intrusion detection and prevention, malware detection, packet capture and analysis, and DDoS mitigation. Unlike some other businesses, financial institutions also rely upon TLS traffic decryption to implement fraud monitoring and surveillance of supervised employees.Dann können wir doch unsere Leute nicht mehr bei der Arbeit totalüberwachen!1!!
Die waren ja bei dem NSA-Malware-Dump prominent vertreten.
Cisco fixt jetzt doch mal die 0days der NSA, also die öffentlich gewordenen.
Cisco schmeißt übrigens demnächst mal 20% ihrer Mitarbeiter raus. Ich bin mir sicher, das hat nichts damit zu tun.
Das ist auf jeden Fall ein Anwärter für den Balls of Steel Award, würde ich mal sagen.
Update: Also die Dateien sind wohl alle schon ein bisschen älter, und es handelt sich auch (außer bei den Skripten, natürlich) um Binaries und nicht den Quellcode. Das hat schon so einen Stallgeruch von "könnte was dran sein", ohne mir das jetzt tatsächlich näher angeschaut zu haben.
Update: Der Name "Shadowbrokers" ist übrigens eine Referenz zu den Mass Effect-Computerspielen. Dort ist das eine ausgleichende Figur, die alle Seiten mit Informationen beliefert, aber nie jemandem damit einen klaren Vorteil verschafft.
Erst war Heulen und Zähneknirschen, weil so richtig klar wurde, wie inkompetent die da arbeiten mit ihren gammeligen Windows-Ranz-Installationen und sorglosem Umgang mit dem Internet. Weniger moralisch flexible Funktionäre wären angesichts so eines monumentalen Versagens zurückgetreten, aber nicht unsere Teflon-Bundesraute!
Erinnert ihr euch auch an die große Erleichterung, als es dann hieß, das sei eine ultraprofessionelle Geheimdienst-Malware gewesen? Die Chinesen oder so? Weil dann plötzlich die Schuld nicht mehr bei unseren IT-Versagern liegt sondern bei den fiesen Ausländern?
Nun, ähnlich fühlt sich gerade Hillary Clinton. Die umarmt gerade das Narrativ, dass die fiesen Russen ihre Partei gehackt haben. Und damit ist dann natürlich klar, dass nicht ihr Maximalversagen Schuld ist, sondern die fiesen Russen!1!!
Super, wie das so läuft, nicht wahr? Das sollte man bei Autounfällen auch machen. Nicht ich war Schuld, der fiese Baum war Schuld! Wobei, so gesehen, … genau so ist es ja auch. Das Land Brandenburg hat tausende von wunderschönen Alleen zerstört, weil die besoffenen Leute mit ihren Autos gegen die Bäume gefahren sind. Man stelle sich mal vor, die Schweiz würde die Berge wegmachen, weil besoffene Autofahrer auf den Serpentinen verunglücken.
Update: Ein Einsender erklärt:
"Weg mit den Todesbäumen" war ein Schlachtruf des ADAC in Westdeutschland, so etwa in den 60ern (autogerechte Welt). Deshalb gibt es Alleen überhaupt nur noch im Osten - im Westen wurden die fast alle abgeholzt.
Ich verweise dafür auf dieses Blogposting von 2008. Schlangenöl funktioniert nicht und verarscht die Benutzer. Und ihr merkt es gerade am eigenen Körper.
Nein, ich werde 42.zip nicht löschen. Das bleibt als Furunkel am Arsch der Schlangenölindustrie kleben, bis es nicht mehr nötig ist. Und solange die sich zum Stück Brot machen, indem sie dann meine Site blocken, ist es noch nötig.
New hotness: Microsofts Compiler baut Überwachungsfunktionen in anderer Leute Software ein.
Überwachung ist hier nicht im Sinne von "zum Überwachen der User" gemeint, sondern der Code sammelt Telemetrie. Es sieht für mich ein bisschen wie "gut gemeint" aus, eine Art Debugging-Schnittstelle nur halt nicht zum Debugging sondern zum Profiling oder so.
Aber nachdem Microsoft mit diesem Malware-artigen Windows-10-Drückerkolonnen-Gebaren sämtliches gute Karma verspielt hat, weckt das halt erstmal weniger harmlose Assoziationen.
There is yet another hack for users of popular social media sites to worry about. Hackers may have used malware to collect more than 32 million Twitter login credentials that are now being sold on the dark web. Twitter says that its systems have not been breached.
Brillante Idee, finde ich!
Die haben noch Geld, die Malware-Leute!
Ich vermute mal, der TÜV Süd wäre sofort mit im Boot.
Hat hier jemand Grafik-Skills und könnte mal ein schönes Gütesiegel basteln? Mir schwebt eines dieser güldenen 90er-Jahre-Prüfsiegel vor. Schön cheesy.
Update: Oh warte, das es war ja gar nicht der TÜV Süd, der den Bundestrojaner geprüft hatte. Das war ja das BSI! TÜV Süd, das waren die mit Libri. Andere TÜVs zertifizieren die Sofortüberweisung und den Internet Explorer. Der TÜV Süd hat allerdings so ein bisschen den Ruf, alles zu zertifizieren, was nicht bei drei auf den Bäumen ist.
As an example, Hypponen said he had recently spoken to a European aircraft maker that said it cleans the cockpits of its planes every week of malware designed for Android phones. The malware spread to the planes only because factory employees were charging their phones with the USB port in the cockpit.Da fühlt man sich doch gleich viel sicherer! (Danke, Andre)
Jetzt kam raus, dass die Räuber über die SWIFT-Software reinkamen.
Swift ist ein Zusammenschluss von 3000 Banken für die Abwicklung von internationalen Transaktionen. Wenn deren Software unsicher ist, dann sollten gerade einmal allen Banken der Arsch auf Grundeis gehen.
Update: Hier gibt es ein paar Details.
Der hat das leider nicht deshalb abgelehnt, weil digitale Beweismittel generell fragwürdig und fälschbar sind, sondern weil er fand, dass der zugrundeliegende Durchsuchungsbefehl, auf den sich das FBI gestützt hat, gar keine Jurisdiktion hatte.
Die haben das so wenig im Griff, dass jetzt die Schweizer Behörden den Zugriff unterbinden.
Hier ist, was deren Betreiberladen zu sagen hat:
"Die Server von Tamedia werden täglich angegriffen. Leider gelingt es einem Angreifer alle paar Monate, unsere Sicherheitssysteme zu durchbrechen". Man arbeite mit Hochdruck daran, das Problem zu beheben. Problematisch sei der Angriffe auch nur bei Zugriffen über Desktop-Computer. Mobilgeräte seien zu keiner Zeit betroffen gewesen.Oh, ach? Ist das das Internet-Äquivalent von "keine Gefahr für Anwohner"? Sind ja nur Desktops betroffen? m(
New hotness: "Government-backed attackers may be trying to steal your password"-Terrorwarnseiten.
Wow. Dieser ganze Terrorwarnscheiß nimmt echt überhand. Da wünscht man sich doch ein paar schöne unsichere Blümchenwiese-Seiten zurück.
Im Übrigen ist es natürlich völlig absurd, wenn Google davor warnt, dass Regierungen Passwörter stehlen wollen. Wenn die US-Regierung klopft, rückt Google deine Mails raus. Steht so im Gesetz, da wo Google residiert.
Na bei der BBC und der New York Times, wenn sie keine Adblocker aktiv hatten!
Update: Eine Sache möchte ich mal ganz klar und direkt ansagen bei der Gelegenheit. Die Verlage stellen es bei solchen Gelegenheiten gerne so dar, als seien sie hier die Opfer, die von marodierenden Malware-Verbreitern gehackt oder missbraucht wurden.
Nein, sind sie nicht.
Die Verlage sind die Täter.
Die Verlage haben eine Infrastruktur geschaffen, über die fremder Leute Content eingeblendet wird. Diese Infrastruktur funktioniert jetzt gerade genau so, wie sie gedacht und ausgelegt worden ist. Lasst die nicht mit ihrem Opfergehabe davon kommen! Zeitungen haften selbstverständlich für den Inhalt ihrer Printausgaben. Genau so selbstverständlich müssen wir sie auch für die Inhalte ihrer Digitalausgaben in Haftung nehmen. Das geht ja mal gar nicht, dass die bei Werbung den Profit einsacken aber bei der Haftung dann die Schultern zucken!
Das sind Verlage, keine Banken!1!!
When you install Comodo Internet Security, in the default configuration an application called "GeekBuddy" is also installed and added to HKLM\System\CurrentControlSet\Services. GeekBuddy is a tech support application, that uses a number of questionable and shady tactics to encourage users to pay for online tech support.Mit anderen Worten: Malware!
Malware installiert sich nur auf Telefonen, bei denen die Sprache nicht Russisch ist?
New hotness: Botnet installiert Schlangenöl! BWAHAHAHAHA
Nun, Google möchte gerne, dass ihr keine Adblocker installiert, und daher müssen sie die Argumente für Adblocker der Reihe nach wegmachen.
Google baut einen Filter für "deceptive download buttons" in ihr "Safe Browsing"-Zeug ein. Finde ich gut. Bin mal gespannt, wer länger durchhält. Die Scammer oder Google.
Update: Ein Einsender kommentiert:
Subject: Chrome Cleanup-Tool..
..geklickt. Wird von Windows Defender als Schadsoftware erkannt und entfernt :(
m(
Und noch ein E-Mail-Kommentar:
Noch schlimmer als die Toolbars sind falsche Chrome Versionen. Wenn jemand in der Verwandtschaft oder dem Freundeskreis einen neuen PC hat wird man ja stets gefragt was installiert werden muss. Das erste was ich hab so einem Anruf sage ist "Chrome herunterladen". Die Person am anderen Ende gibt das dann meist einfach in die Adressleiste des IEs ein und landet hier:
http://www.bing.com/search?q=chrome+herunterladen
(AdBlocker deaktivieren um zu sehen was der normale Nutzer sieht)
Die ersten 2 Links sind Webseiten die behaupten Chrome anzubieten, aber ihren eigenen verseuchten Browser anbieten. Sieht aus wie Chrome, ist es aber nicht.Nach der Installation kann man eigentlich nur noch eine Sachen machen, zum "Kunden" fahren und PC neu aufsetzen.
Das Zeug nistet sich so tief im System ein das es einfach leichter und schneller ist von vorne anzufangen.
Ansonsten habe ich gerade den VW-Emissions-Vortrag gesehen, und der war in der Tat echt krass. Gemeinsam gehalten von einem Autobranchen-Insider, der mal erklärt hat, wie die Branche so intern funktioniert, und Felix Domke, der sich mal eben auf Ebay eine ECU geklickt hat (das ist der Motor-Regulator-Computer, der u.a. den Katalysator regelt und auch die NOx-Entfernung). Dann hat er da über einen Hardware-0day die Firmware extrahiert und in IDA reingeladen und mal ein bisschen reverse engineered.
Die Haupt-Botschaft ist die: Die ECU-Software lizensiert man für viel Geld von Bosch, die tun da ihre proprietäre Software drauf, aber da kommen keine Konstanten vor. Alle Konstanten liegen in einem vom OEM (VW in diesem Fall) manipulierbaren Datenbereich. Bosch hat da mit massivem Forschungs-Investment ein Motormodell entwickelt, bei dem man nur noch die Parameter einstellt, und dann rechnet der genau aus, wieviel "AdBlue" eingespritzt werden soll, um das NOx wegzumachen. Und was Felix jetzt herausgefunden hat, ist dass dieses Modell überhaupt nur für den Fall verwendet wurde, wenn das Auto erkennt, dass es gerade im Abgastestmodus läuft. Er hat sogar die Parameter im Datensegment gefunden, die die Kurve für die Erkennung der Abgastestreihe beschreibt, und gegen die gemessene Kennreihe geplottet. Da bleiben keine Fragen offen.
Ansonsten fährt das Auto in einem "alternativen" Modell, das offenbar überhaupt keine NOx-Unterdrückung macht. Mir war daran erst nicht das Geschäftsmodell klar, weil das Auto ja nicht besser oder schneller fährt oder männlicher klingt, wenn man das NOx nicht aus dem Abgas filtert. Hier die aktuelle Theorie (von Frank): Aber die Kenngröße für einen Katalysator ist die benötigte Fläche, und die ist mit Platin beschichtet. Wenn man also den Katalysator ansonsten nicht braucht, dann braucht man weniger Platin und kann billiger fertigen. Der Vortrag lohnt sich aber auf jeden Fall.
Update: Leute, die sich damit besser als ich auskennen, erklären mir gerade, dass es nicht Platin ist bei Diesel, sondern eine Titanverbindung.
Update: Meine Zusammenfassung war falsch. Im alternativen Modell wird nicht gar kein AdBlue gespritzt, sondern nur viel zu wenig. Felix Domke vermutet, dass sie den AdBlue-Tank zu klein dimensioniert haben, und dann den Verbrauch davon runtergeregelt haben, damit das Auto nicht ständig zum Nachfüllen in die Werkstatt muss. Vielleicht ist das ja zu spät im Testzyklus aufgefallen.
Update: Der Gadi-Vortrag war weit weniger schadenfroh als ich dachte. Im Wesentlichen haben sie da diagnostiziert, dass APT-Reports im Moment reine PR-Geschichten sind, und nicht nur mir als potentiellem APT-Opfer nicht helfen (tolle IDA-Screenshots, wenig bis gar kein was die wollten, wie sie reinkamen, etc. Dann zeigten sie, dass diese den Opfern nicht helfenden Reports aber den Tätern helfen, ihren Scheiß besser auf die Reihe zu kriegen. Am Ende blieb der Aufruf, bessere APT-Reports zu machen, aber wie das konkret aussehen soll, da kam eigentlich nur "give us a heads up, don't wait until they are analyzed and removed from your systems".
Und für die NOx-Geschichte ist mir auch noch eine Erklärung reingekommen, nämlich dass es anscheinend in den USA rechtlich unzulässig ist, wenn der Kunde zwischen zwei Wartungsintervallen irgendwas außer Benzin nachkippen muss am Auto, und weil die da längere Entfernungen zurücklegen, reicht dann der AdBlue-Tank halt nicht.
So, dann gucken wir doch mal in den Fahrplan.
Tag 1: Der 11:30-Slot hängt davon ab, wer die Keynote macht. Ich denke mal, ich würde da in der Keynote bleiben.
Der Slot ab 12:30 ist schwierig. Saal 1 ist eine Netzpolitik-NSAUA-Veteranin, das wird sicher spannend. Saal 2 ist die Erfinderin von Blue Pill, wenn ihr euch an den Hype vor ein paar Jahren erinnert. Ihr Konzept im Vortrag hat sie schon geblogt. Es ist: Stateless Laptop. Sie fordert eine Hardware ohne Speichermedien, insbesondere ohne Firmwares und Flash-Biosse, kurz: was, wo man nirgendwo Malware einspielen kann. Ich glaube, der Zug ist abgefahren. Und vor allem ist es bei heutiger hochintegrierter Elektronik gar nicht so einfach, von außen zu bestätigen, dass da nirgendwo Flash-Speicher mit dabei ist. Aber anhören möchte ich mir das trotzdem. Mal gucken, entscheide ich kurzfristig.
Der Slot ab 14:00 wird wohl Saal 1 oder verlängerte Mittagspause mit Socializing bei mir.
Beim Slot um 16:00 tendiere ich zu Saal 2. Bin eher nicht so der Hardware-Hacker, aber Saal 1 ist noch hardware-iger.
Der Slot um 17:00 wäre eigentlich ein klarer Fall von Saal 2, aber da kenne ich den Vortragenden und habe die Folien korrekturgelesen. Mal gucken.
Der Slot um 18:30 ist wieder schwierig, weil es in beiden großen Sälen um Massen-Pwnage geht. Saal 1 ist von den Scada-Strangelove-Leuten und handelt von Eisenbahn, Saal 2 ist glaube ich der Vortrag, in dem das Netz von Kabel Deutschland Schaden nimmt. Wobei sie das schon gefixt haben werden. Also eher Schaden fürs Ansehen.
Der Slot um 20:30 wird Saal 2 für mich, gar keine Frage. Saal 1 betrifft Apple. Who cares.
Der Slot um 21:30 wird ganz klar Saal 1. Saal 2 ist sicher auch spannend und cool, aber Saal 1 ist ein Hardware-Ingenieur von AMD, eine der wenigen ernstzunehmenden Einreichungen, die wir zu Failosophy hatten. Bei Failosophy war die Idee, Industrieveteranen mal über ihre Fehlstarts berichten zu lassen, damit man was daraus lernen kann. Und um "boah guckt mal alle wie toll wir hier sind" zu vermeiden. Da muss ich also hin. Saal 3 klingt auch gut, aber Saal 1 ist Pflicht an der Stelle. Gut, dass wir Video-Aufzeichnungen haben!
Der Slot um 23:00 ist schon wieder ein Konflikt zwischen Saal 1, wo djb und Tanja Lange sprechen werden (mehr muss ich gar nicht wissen, da werde ich sitzen) und Saal 2, wo mein alter Kumpel Gadi und einer seiner Techniker-Mitarbeiter einen dem Vernehmen nach sehr coolen Vortrag über Trojaner-Zoologie halten wird. Na mal gucken, vielleicht geh ich auch zu Gadi und guck mir djb auf Video an. Eine harte Entscheidung. Mann Mann Mann, ey!! Wer macht eigentlich immer diese Fahrpläne?! *rant*
Update: Ich erfahre gerade aus gewöhnlich gut informierter Quelle, dass man den VW-Talk unbedingt sehen will. Der ist heute um 14:00 in Saal 1.
Update: Beim Durchgucken der anderen Tage fällt mir auf, dass ich fehlinformiert war. Wir haben da einige coole Failosophy-Talks.
Seit dem war das ein trauriger Rekord. Niemand war seit dem so blöde, ein Feature wie dieses in sein Schlangenöl einzubauen.
Bis jetzt, denn Kaspersky kriegt das sogar noch getoppt! Bei Kaspersky muss das nicht über TCP reinkommen, sondern ein gespooftes Paket reicht. Das heißt man kann mit einem gespooften Paket andere Leute dazu bringen, beliebige IP-Adressen bei sich zu blockieren!
Das ist bestimmt bei Twitter-Filterblaslern sehr beliebt, das Produkt. So von der Mentalität her.
So gesehen müssen wir Microsoft dankbar sein, dass sie das so auf die Agenda gesetzt haben — und dass ihre Datenschutzbedingungen so verständlich sind, dass Leute sie gelesen haben! Über Apples Kleingedrucktes werden Witzchen gerissen, bei Microsoft lesen die Leute das und verstehen danach, was da passiert. Und sind empört.
Ich freue mich da sehr drüber, dass die Leute jetzt aufwachen. Aber ich finde es sehr ungerecht, dass sich der Zorn gegen Microsoft richtet, die beim Datenmissbrauch geradezu der Nachzügler sind, Jahre später dran als die Konkurrenz!
Wieso ist Cortana auf dem Desktop plötzlich schlimmer als OK Google oder Siri?
Vielleicht sollte ich diesem geschenkten Gaul nicht zu tief ins Maul schauen und mich einfach freuen, dass endlich jemand Interesse am Datenschutz hat.
Und so wird dann ein Schuh aus der Sache, denn das kommt jetzt nicht von den anderen Herstellern, die Story, sondern von "Ex-Kaspersky-Mitarbeitern", d.h. von Kaspersky selbst. Für mich sieht das aus wie eine als Pseudo-Kontroverse getarnte PR-Nummer von Kaspersky, um sich selbst als einzigen Marktteilnehmer darzustellen, der noch ordentlich prüft. Glaubt kein Wort von sowas. Schlangenöl ist Schlangenöl.
Im Übrigen basiert die ganze Branche auf geheimen Insider-Malware-Börsen, und die Hersteller tauschen alle ihre Malware-Samples aus. Ich bin da kein Insider, insofern weiß ich nicht, wie weit die Automatisierung der Signaturgenerierung ist. Was ich vor ein paar Jahren mal gesehen habe, ist dass das "manuell" gemacht wurde, allerdings mit massivem Tool-Aufgebot. Viel tatsächlich manuelle Arbeit war da nicht beteiligt, aber völlig automatisiert war es auch noch nicht. Wenn man die Tools der Konkurrenz beobachtet, kann man diesen Vorgang möglicherweise aus der Ferne reversen und so trojanische Signaturen unterjubeln.
Aber mal ehrlich, der ganze Ansatz mit den Signaturen ist für den Arsch. Dieses Geplänkel hin oder her, wer sich Software verkaufen lässt, die Viren fernhalten soll, hat es auch nicht besser verdient.
Update: Laut dieses Vortrages von 2013 von Microsoft scheint genau das passiert zu sein.
Das müssen diese westlichen Werte sein, von denen man immer so viel liest!
Diese Daten kommen übrigens von hier. Eines der Schadenfreude-Highlights ist das hier.
Update:
Hi Felix,
ich habe hier Feedback zu deinem MS Office-Link auf FD.
Das wird in der Tat bereits aktiv ausgenutzt um Malware zu versenden.Eines unsrer beiden Gatways hat just während ich das Posting las mehrere *.rtf mit eingebundener Malware gefunden:
- The SFX Header* 0.2.1.0* extracted from the attachment *Rechnung.rtf*
- The item *UnRAR.exe* extracted from the attachment *Rechnung.rtf*
Ich weiß, dass das auch in Gefängnissen so gemacht wird.
Ich befürchte, dass wir es hier mit einem Vorläufer der nächsten Kryptokriege zu tun haben. Das schrittweise die Bedeutung von Menschenrechten wie dem Briefgeheimnis immer weiter abgeschwächt werden, genau wie die NSA-Enthüllungen ja das Gefühl abgeschwächt haben, dass man sich im Internet ungestört unterhalten kann (das war übrigens noch nie gerechtfertigt, das Gefühl).
Verschlüsselung ist unsere letzte Verteidigungslinie. Wir haben uns schon von dei meisten anderen Prinzipien der Aufklärung verabschiedet.
Wir lassen unsere Nachbarn nicht in unser Internet, weil wir uns daran gewöhnt haben, dass Internet Geld kostet und das Haftungsfragen aufwirft. Ja warum eigentlich?
Wir haben uns von der Idee verabschiedet, dass man sich im Netz bewegen kann, ohne abgehört zu werden. Ja warum eigentlich?
Und jetzt versuchen sie, uns der Reihe nach abzugewöhnen, dass wir ein Recht auf Verschlüsselung haben. Erst in so Kontrollhochburgen und Randgebieten wie Gefängnissen und der Bundeswehr, dann werden sie der Reihe nach alle anderen Argumente durchprobieren. Terrorismus, organisierte Kriminalität, Kindesmissbrauch, Jugendschutz, und am Ende wird die Contentmafia in eure SSL-Verbindungen reingucken wollen, um zu prüfen, dass ihr keine Musik raubkopiert.
Ich möchte betonen, dass es keinen weiteren Rückzugsraum gibt. Wenn wir uns die Verschlüsselung wegnehmen lassen, dann können wir das Internet auch gleich wieder zumachen. Und ich rede hier von Ende-zu-Ende-Verschlüsselung, denn alles andere ist Schlangenöl. Das haben sie ja auch schon versucht, uns das als "das ist doch auch verschlüsselt dann, das reicht doch!1!!" zu verkaufen. Fallt auf sowas nicht rein.
Achtet da mal drauf. Ich sage voraus, dass das in nächster Zeit zunehmen wird, dass öffentlich "Probleme" thematisiert werden, die wir haben, weil jemand verschlüsselt hat. "Diesen Terroristen konnten wir nicht aufhalten, denn er hat seine Festplatte verschlüsselt". Das gab es schon mal zaghaft im Zusammenhang mit Skype, aber das fiel ja gleich wieder in sich zusammen, als wir darauf hinwiesen, dass Skype natürlich gesetzeskonform Abhörschnittstellen anbietet.
Update: Kommentar per Mail:
was Du unter http://blog.fefe.de/?ts=ab6b87e5 bei der Bundeswehr ansprichst, ist für Hamburger Schulen seit einiger Zeit normal.
Der feuchte Traum der bis zum Anschlag im Arsch der Contentmafia steckenden Schulbehörde ist es, jederzeit kontrollieren zu können, wer was im Internet macht (Lehrer, Schüler, etc.).
Die zu diesem Zweck ausgerollte "Lösung" nennt sich "Time for Kids" "Schulrouter Plus" und ist insgesamt ein "Internet minus", etwas derartig zusammengestricktes habe ich bisher noch nicht gesehen. Dass Sachkenntnis in diesem Bereich gerne von Stock-Fotos und bunten Flyern ersetzt wird, versteht sich von selbst…
Wobei ich ja sagen muss, dass ich das in Hamburg durchaus verstehen kann. Da ist man ja quasi direkt in der Nachbarschaft des LG Hamburg.
Update: Noch einer:
nicht nur die Bundeswehr macht das, sondern auch das Arbeitsamt. Für die habe ich mal ein Jahr lang Tech Support gemacht. Da sitzt dann ein Squid mit nem selbstgepopelten root certificate davor, was auf allen Rechnern verteilt ist. Zumindest im IE funktioniert das. Man hatte auch mal versucht, da Firefox einzuführen, aber der blockt, sobald er etwas nicht erkennt.
Update: Auch an Berliner Schulen, in mindestens einer öffentlichen Verwaltung und die Rentenversicherungen setzen sowas anscheinend ein. Wie gruselig! Schade, dass wir keine Parteien haben, die sich um Bürgerrechte kümmern, sonst würde man das gesetzlich verbieten. Fernmeldegeheimnis und so. Das kann ja wohl nicht sein, dass eine Organisation erfolgreich argumentieren kann, das Fernmeldegeheimnis sei nicht verletzt, weil da ja kein Mensch sondern nur eine Software mitliest. Das wäre ja wie wenn man behauptet, Videoüberwachung sei nicht schlimm, weil das eine Kamera und kein Mensch ist.
Mir fiel hier beim Rumklicken gerade ein besonders schönes Exemplar auf. Das ist ein Whitepaper von RSA über, … ja so richtig klar ist das nicht. Ihr Team? Ihre Produkte? Es geht jedenfalls um Incident Response (auch bekannt als "Feuerwehr" oder "Ghostbusters"-Einsätze) in APT-Fällen (auch bekannt als "Windows-Trojaner"). Normale Malware gibt es ja gar nicht mehr, ist ja heutzutage alles APT. Mit APT können alle leben. Die gehackte Organisation, denn bei APT kann man halt nichts machen, alles 0day und military grade ultra-Geheimdienst-Qualität und so. Die untersuchenden Spezialisten, denn hey, wer kann schon von sich sagen, einen echten APT gefunden zu haben! Gut, inzwischen fast alle, aber wollen wir mal nicht so sein.
Aber gucken wir uns das Whitepaper mal an. Es geht damit los, dass sie eindrucksvoll schildern, wie raketentechnologisch roswellig ihre UFO-Technologie da ist! Während Villariba erst 10% untersucht hat, ist Villabajo dank RSA-Gehirnchirurgenequipment schon 90% fertig (Seite 5).
Da wird man doch neugierig, wie sie das anstellen! Und blättert weiter bis zum Kapitel 3, Analysis Methodology. Und was steht dort?
RSA IR employs a methodology that is founded on industry standards.Wie jetzt, nanu? Ich dachte ihr seid der Industrie 90% voraus! Wie könnt ihr dann die selben Standards nehmen wie der Rest der Industrie? Das liegt bestimmt an dem ganzheitlichen Ansatz!The holistic approach includes the following four core components:- Intelligence gathering and research;
- Host-based forensic analysis;
- Network-based forensic analysis; and,
- Malware analysis.
Oder mit anderen Worten: Was auch alle anderen machen, wie das jeder tut, weil das offensichtlich ist.Plötzlich ist dann von iterativen Ansätzen und wiederholbaren Prozessen die Rede, das klingt dann schon gar nicht mehr so 90% schneller als anderswo, und dann gibt es dieses Highlight:
To complete this work, RSA IR uses several commercial and open source forensic toolsWie, Moment, ihr benutzt anderer Leute von-der-Stange-Tools? Ich dachte, EURE Tools seien der heiße Scheiß!In addition, the Team will leverage available tools and technologies in place within the enterpriseJa, äh, na was soll man auch sonst benutzen an der Stelle?Aber gut, das ist ja immer noch recht abstrakt. Vielleicht werden die Dinge in der Case Study-Sektion klarer?
The RSA IR team used Volatility to analyze the submitted memory dump. Very quickly, while parsing the Application Compatibility cache from the memory image, RSA IR confirmed this server likely had unauthorized activity based on locations and filenames that were executed on the system.Das ist ja mein persönliches Highlight. Erstens: Volatility ist ein Open-Source-Tool. Aber über Formulierungen wie "confirmed this server likely" könnte ich mich stundenlang amüsieren. Likely ist, was man vorher hat. Confirm macht aus likely ein definitely. Bestätigen, dass etwas wahrscheinlich passiert ist, geht nicht. Etwas ist wahrscheinlich passiert, dann bestätigt man das, dann weiß man, dass es passiert ist und braucht kein wahrscheinlich mehr.Ihr seht schon: Whitepapers sind ein Quell der Unterhaltung für Leute, die sich für den sprachlichen Dreizack aus Bullshit, Schlangenöl und Herumwieseln interessieren.
Hey, vielleicht sollte ich auch mal ein Whitepaper schreiben. "Wir machen das selbe wie unsere Mitbewerber. Wir können es nur besser." :-)
In der digitalen Quarantäne-Liste, die vom Bundesamt für Sicherheit in der Informationstechnik bereitgestellt wird, sind mehrere Zehntausend Websites erfasst, die im Zusammenhang mit der Verbreitung von Schadsoftware aufgefallen waren.Da stellen sich natürlich direkt mal einige Fragen, z.B. ob die Liste aktuell ist? Wer die wartet? Ob da auch mal Domains runtergenommen werden oder immer noch mehr angehängt werden? Wir erinnern uns an die BPjM-Liste. Oder die No-Fly-List. Das wäre die erste Blacklist in der Geschichte der Menschheit, die ordentlich gepflegt würde. Und kann man überhaupt eine Liste mit sechsstellig Einträgen pflegen?
Man muss sich ja auch fragen, ob man ein Parlament haben will, das in einer Filterblase sitzt, und einige Dinge gar nicht sehen kann. Ich muss da spontan an Fuck the EU denken.
Alles höchst beunruhigend. Es hilft auch nicht, dass sie sagen, das sei nur temporär. Meiner Erfahrung nach hält kein noch so langfristig geplantes Feature so lange wie temporäre Notbehelfe.
Nicht nur ich mache mir da Sorgen:
"Es ist mit dem freien Mandat unvereinbar, dass eine Regierungsbehörde entscheidet, auf welche Informationen Abgeordnete zugreifen dürfen, und diese Kommunikation zudem protokolliert."Da hat er völlig Recht. Auf der anderen Seite hilft natürlich ein freies Mandat nicht, wenn die User dann alle doof sind und sich im Netz Malware einfangen.
Ich für meinen Teil finde es ja hochamüsant, dass die Abgeordneten kein zensierte Netz haben wollen, nur gut zehn Jahre nach Jürgen Büssow.
Ich möchte an der Stelle nochmal wiederholen, dass ich Malware-Attribuierung für Bullshit halte, und die ganze AV-Industrie für Schlangenölverkäufer. Aber wenn man mal unter der Annahme operiert, dass hier ein Staat eine gezielte Malware in den Bundestag eingeschleust hat, weil die wirklich dringend wissen mussten, was deutsche Abgeordnete denken, dann wäre die Ukraine ein plausibler Kandidat. Plausibler jedenfalls als die Russen, finde ich. Aber es ist und bleibt ein Gerücht, wilde Spekulation. Behandelt es auch so.
Die Linksfraktion ist durch die Veröffentlichung ein Sicherheitsrisiko für den Deutschen Bundestag geworden.Welche Veröffentlichung? Die hier,
Mein Kommentar dazu: Wer bei Malware Attribuierung macht, schießt sich damit selbst aus dem Rennen. Dem kann ich auch sonst nichts mehr glauben. Zumal die Attribuierung hier auf eher tönernen Füßen steht, sie basiert im Wesentlichen auf diesem Report von Fireeye. Fireeye ist ein "IT-Security-Dienstleister", dessen Geschäftsmodell es ist, in großen Organisationen Email-Attachments in einer Sandbox auszuführen, und zu gucken, ob die nach Hause zu telefonieren versuchen. Ich persönlich halte den Ansatz für Schlangenöl. Deren Produkt habe ich noch nicht in der Praxis von Nahem im Einsatz gesehen.
Jedenfalls hat Fireeye ein kommerzielles Interesse daran, auf die bösen Chinesen oder Russen zu zeigen, damit mehr Leute Angst kriegen und Kunde werden. Wenn man sich deren Report durchliest, findet man heraus, dass ihre Attribuierung daher kommt, dass internationale Elite-Hacker, die SO GUT sind, dass sie ÜBERALL REINKOMMEN, beim Erstellen ihrer Software mit einer Microsoft-Entwicklungsumgebung vergessen haben, die Metadaten zu bereinigen. Leute, die gut genug sind, um ihren Code mit sinnlosen Instruktionen aufzublähen, damit die Analyse schwerer wird. Solche Leute vergessen dann die Metadaten. Ja nee, klar. Oh und die Metadaten zeigen, dass da teilweise die russische Version eingesetzt wurde, und dass die Erstellungszeiten im Dateiheader auf reguläre Montag-Freitag 9-5 Arbeitszeiten in der Zeitzone von Moskau hinweisen.
Nein, wirklich! Hey, *hexeditier*, ich hab hier eine fiese Malware, wo jemand als Kommentar "ist von Fireeye" zu entfernen vergessen hat!1!!
Also ich für meinen Teil würde auf diese Zuordnungen nicht viel geben. Dass die Linksfraktion in ihrem Netz Malware sucht und analysieren lässt und die Details veröffentlicht ist ihr gutes Recht. Ja sogar ihre Pflicht, wenn man für Fraktionen die selben Regeln anwendet, die unsere Bundesregierung gerade mit dem IT-Sicherheitsgesetz allen Firmen reindrücken will. Es lässt sehr tief blicken, wenn dieser CDU-Spezialexperte sich dermaßen aus dem Fenster lehnt in der Angelegenheit. Da hat wohl jemand Bürotiefschlaf gepflegt, anstatt sich mal durchzulesen, was die eigene Regierung gerade so beschließt, wie?
Die Bundestagsverwaltung warne deshalb die Parlamentarier im Intranet davor, die Links in den falschen Merkel-Mails anzuklicken.BWAHAHAHAHA
Ich habe da ja mal einen Vorschlag zu machen: Machen wir es wie Belgien. Fahren wir die Regierung für ein-zwei Jahre runter. Es gibt noch eine Verwaltung, die das Tagesgeschäft führt, und in Notfällen kann man ein Notfall-Kabinett einberufen, aber ansonsten fährt man das einfach alles runter. Dann kann man in Ruhe die Software neu installieren, und von mir aus die Hardware tauschen (Hey, warum auch nicht!1!! Ich tausch ja auch immer meine Hardware, wenn ich zu faul zum Reinstallieren bin, und der Steuerzahler auf der Rechnung sitzen bleibt!). Wisst ihr was? Wenn wir schon dabei sind, können wir auch gleich die Parlamentarier austauschen. Ich kann mich gerade nicht erinnern, wann die zum letzten Mal nach ihrem Gewissen und nicht nach Fraktionszwang abgestimmt haben. Oder wann da mal jemand vor dem Abstimmen die Gesetzesentwürfe gelesen hat. Und sich Gedanken gemacht hat.
Diese Art von Parlament braucht niemand hier. Einfach mal ein paar Jahre ins Abklingbecken, dann können die auch nichts mehr mit ihrem Diplomatie-Getrampel noch schlimmer machen in Sachen Griechenland, und dann steht auch niemand einer Aufklärung beim NSA-Skandal im Wege.
Einwände?
Update: Die Regierung natürlich auch gleich mit ins Abklingbecken, falls das jetzt jemand nicht zwischen den Zeilen gelesen hat.
Hier ist es:
Das BSI hat es angesehen, und bat die Dunkle Seite von Fraunhofer (FKIE) um Hilfe, weil sie sich überfordert sahen.Anonyme Bestätigungen oder überspezifische Dementis nehme ich wie üblich gerne per Email entgegen.Die haben sich das angesehen und gemeint: Tja, ausmachen, Images zur Analyse ziehen, Netz isolieren, alles neu aufsetzen.
Damit ist das BSI zur Bundestagsverwaltung gegangen, und die haben gesagt: Äh, was? Ihr seid doch das BSI! Wieso kriegt ihr das denn nicht hin?!
Das BSI hat denen dann erklärt, dass das bei nichttrivialer Malware halt so ist, woraufhin die Bundestagsverwaltung das lieber vor den Fraktionen geheimgehalten hat. Die Fraktionen haben gerade keinerlei Informationslage, fliegen blind.
Daraus entstand die "Vielleicht die Sommerpause vorziehen"-Empfehlung, weil das im Wesentlichen die Empfehlung der Fraunhofers ist.
Ja, schon, aber: Damit fällt jeder Anreiz für den Hersteller weg, gleich ein ordentliches Produkt auszuliefern. Und dieser ganze Update-Scheiß sorgt auch dafür, dass derjenige, der die Update-Server kontrolliert, der ganzen Welt Malware unterschieben kann.
Paranoia? Die NSA hat daran gearbeitet, über den Android-Store Malware zu verteilen. Und ja, das ist völlig unüberraschend. Das hätte ich an deren Stelle auch getan. Die wären blöd, wenn sie das nicht täten!
Nun ist das glücklicherweise nicht so einfach, weil Google relativ frühzeitig mit Certificate Pinning angefangen hat. Da müsste die NSA also mehr machen als sich auf Netzseite einzuklinken (wir wissen, dass sie das können). Sie müssten auch Schlüssel von Google klauen (davon ist bisher nichts bekannt). Oder sie müssten eine Krypto-Schwachstelle ausnutzen. Ich kenne jetzt die Struktur des Android App Store nicht genug, um sagen zu können, ob dafür das Diffie-Hellman-Problem von gestern reichen würde oder nicht. Aber selbst wenn nicht: Habt ihr schon ein Update für eure alten Androids gesehen?
Ich habe gehört, dass sie da Malware-Module gefunden haben, die auf interne Bundestags-Infrastrukturdetails angepasst wurden. Das spräche ja schon mal direkt für eine Five-Eyes-Malware.
Wieso sind die Briten eigentlich noch nicht aus der EU geflogen?
Was sagt ihr? Schlangenöl hilft gegen Malware nicht? NA SOWAS! Hätte uns doch nur vorher jemand warnen können!1!!
Technisch ist das eine brilliante Leistung, was die da gemacht haben, weil dieses ganze SMM-Zeug immer als eine Kreuzung aus Voodoo und schwarzer Magie galt, wenig bis gar nicht dokumentiert, man kennt es nur vom Spätnacht-Raunen am Lagerfeuer.
Aber mal bei Tageslicht betrachtet ist die Erkenntnis hier: Wenn ihr bösartigen Code ausführt, kann der böse Dinge tun. Das sollte nun echt niemanden mehr hinter dem Kamin hervorlocken.
Natürlich ist es besonders böse, wenn sich Malware so persistieren kann, klar. Vielleicht versteht jetzt der eine oder andere, wieso ich neulich so sauer wurde, als Lenovo seinen Usern verbieten wollte, das Bios neu zu flashen, um Sicherheitslücken zu fixen.
Aber: Kann man dann andere Leute am updaten hindern, indem man das P2P-Zeugs angreift? Das ist nicht mal In-House-P2P-Zeug sondern sie haben da ein ranziges Startup gekauft, die schön häufiger negativ aufgefallen sind.
Wenn ihr, wie ich, gesagt habe: Apple interessiert mich nicht, *tabzumach*, dann habt ihr was verpasst.
Also presented at the Jamboree were successes in the targeting of Microsoft’s disk encryption technology, and the TPM chips that are used to store its encryption keys. Researchers at the CIA conference in 2010 boasted about the ability to extract the encryption keys used by BitLocker and thus decrypt private data stored on the computer. Because the TPM chip is used to protect the system from untrusted software, attacking it could allow the covert installation of malware onto the computer, which could be used to access otherwise encrypted communications and files of consumers. Microsoft declined to comment for this story.Das, liebe Freunde, ist ein Totalschaden. Davon kann man sich als Plattform nicht erholen. Die gesamte angebliche Daseinsberechtigung (abgesehen davon, dass es verhindern soll, dass wir Bugs in der Firmware durch Einspielen von coreboot fixen können) für diesen ganzen TPM-Rotz ist, dass wir damit verhindern können, dass unvertrauenswürdige Software auf unseren Kisten läuft. Wenn die CIA die Schlüssel extrahieren kann, dann ist das alles für den Arsch, und wir können allen Teilnehmern dieser eh vergifteten Infrastruktur überhaupt gar nichts mehr abnehmen. (Danke, David)
A top secret National Security Agency document from April 2013 reveals that the U.S. intelligence community is worried that the West’s campaign of aggressive and sophisticated cyberattacks enabled Iran to improve its own capabilities by studying and then replicating those tactics.Hätte uns doch nur jemand gewarnt, dass das ein gefährlicher Pfad ist, den man als Demokratie nicht gehen sollte!1!!
Mein Punkt war auch nicht, da einige ausgewählte Antivirenhersteller an den Pranger zu stellen, sondern das als systemisches Problem der Antivirenindustrie darzustellen. Kaspersky, Symantec und F-Secure waren halt, wenn ich mich da richtig erinnere, die Firmen, die öffentliche Statements dazu abgegeben haben. Die AV-Industrie hat eine gut funktionierende Infrastruktur zum Austausch von Malware-Samples, daher kann man davon ausgehen, dass alle AV-Firmen ein Regin-Sample hatten. Das Geheimdienst-Statement kam von Fox IT.
Meine Argumentation, dass man den Schutz nicht privatwirtschaftlichen Unternehmen überlassen sollte, hatte auch eine Begründung, die wohl Platzproblemen zum Opfer fiel. Damit war nicht gemeint, dass ich die Bundesbehörden für sonderlich kompetent halte, die würden das am Ende wahrscheinlich an die Industrie outsourcen und es würden die selben Leute wie jetzt machen. Aber im Moment ist der Aufwand, den wir für die Verteidigung treiben können, dadurch gedeckelt, wieviel Geld wir für Antiviren ausgeben. Minus deren Profitmarge. Wenn der Staat das macht, kann man die Ausgaben dem Bedarf anpassen. Auch das ist eine eher optimistisch-naive Sicht auf die Dinge, das gebe ich zu. Aber mein Eindruck war, dass es bei solchen Zukunftsbetrachtungen auch eher um idealisierte Zukunftsvorstellungen geht.
Der spannene Teil beim Sony-Hack ist, wie Sony es geschafft hat, das von "oh wie peinlich, wir waren zu doof, ordentliche Passwörter zu vergeben" umgelenkt hat zu "OMGWTF DIE TERRORISTEN AUS NORDKOREA WERDEN UNS ALLE TÖTEN!!1". Und Obama ist natürlich sofort aufgesprungen, weil das vom CIA-Folterbericht abgelenkt hat. Ein Musterbeispiel für einen Bullshit-Geysir.
Rein rechnerisch hätte Nordkorea vermutlich gar nicht die Bandbreite, um da bei Sony die ganzen Daten rauszulutschen. :-) Und wenn sie sie hätten, wieso würden sie dann die anderen Filme raustragen und bei irgendwelchen Torrent-Sites hochladen? Dass irgendjemand auf diese völlig abwegige Theorie mit etwas anderem als Gelächter reagiert hat, finde ich nicht nachvollziehbar.
Hier schlagen auch gerade gehäuft Journalisten auf und fragen nach Regin, weil das angeblich im Kanzleramt entdeckt worden sein soll. Naja, äh, klar, warum sollte das Kanzleramt auch immun gegen Malware sein? Solange es Menschen gibt, die auf Dinge raufklicken, wird es eine Malware-Problematik geben.
Aus meiner Sicht ist der Punkt bei Malware, dass es hier zwei Märkte gibt. Auf der einen Seite schaffen die Geheimdienste einen Markt, weil sie für unbekannte offene Sicherheitslücken Geld ausgeben. Solange es diese Nachfrage gibt, wird auch ein Angebot entstehen. Auf der anderen Seite gibt es den Markt der Antiviren-Hersteller. Wir haben hier zwei Märkte mit Angebot und Nachfrage, die sich gegenseitig bedingen. Solange diese Konstellation besteht, wird das Malware-Problem sicher nicht weggehen. Wir müssen also gucken, dass wir diese Märkte beseitigen.
Die mir liebste Lösung wäre, wenn wir Malware international ächten könnten, und dafür sorgen könnten, dass Geheimdienste und Militär sie nicht kaufen. Das erscheint aber nicht sonderlich realistisch. Wenn wir die Nachfrage nicht wegkriegen, dann bleibt nur, das Angebot zu verknappen. Dafür müssten wir dafür sorgen, dass man in der Ausbildung zum Programmierer lernt, wie eine Sicherheitslücke aussieht und wie man sie vermeidet. Leider geht die Kohle der "digitalen Agenda" nicht in die Bildung sondern verstärkt das Problem sogar noch, indem es Malware-Käufern wie BKA und Verfassungsschutz mehr Mittel in die Hand gibt für ihr unmoralisches Tun.
Man könnte das Angebot noch verknappen, indem man dafür sorgt, dass Softwarehersteller für das Ausliefern von Software mit Sicherheitslücken Konsequenzen zu befürchten haben. Das ist im Moment leider nicht der Fall. Ganz lösen kann man das Problem durch Verknappung wahrscheinlich nicht, aber bei Microsoft kann man sehen, dass man so die Preise für 0day dramatisch in die Höhe treiben kann. Früher konnte man mit Windows-Bugs kein Geld verdienen, weil es zu viele davon gab. Heute kostet ein ordentlicher Remote Exploit siebenstellige Beträge. Das ist immer noch im Budget von Geheimdiensten, klar, aber das reduziert deren Munition deutlich. Wenn wir dann eine Lücke finden und schließen, dann tut das den Diensten richtig weh.
Es gibt da noch die Idee, das BSI 0day kaufen zu lassen, und die dann zu verbrennen. Das ist wahrscheinlich nicht die Lösung, weil das den Markt ja befeuert, statt ihn auszutrocknen, aber es wäre immerhin mal eine nicht völlig sinnlose Geldanlage. Besser als ein beklopptes Mautsystem zu bauen jedenfalls. Oder den Berliner Großflughafen.
Highlights, die sich anzugucken lohnen, sind (völlig subjektiv, versteht sich):
Mit der Fnord-Show war ich dieses Jahr selber nicht so zufrieden. Wir hatten zu viele Folien. Das wussten wir auch vorher, aber wir hatten schon einen gehoben zweistelligen Prozentsatz an potentiellen Folien vorher weggeschmissen. Das werden wir nächstes Jahr anders machen. Dem Publikum hat es anscheinend trotzdem ganz gut gefallen, insofern will ich da jetzt mal nicht zu schlecht gelaunt sein. Aber zufrieden war ich nicht. Bin ich aber so gut wie nie nach meinen Vorträgen, wäre ja auch langweilig.
Den heutigen dritten Tag nutze ich hauptsächlich für Socializen und vielleicht das eine oder andere Interview. Für Erich Möchls Vortrag heute morgen konnte ich mich leider nicht rechtzeitig aus dem Bett quälen. Das will man sicher auf Video gesehen haben, er sprach über NSA-Niederlassungen in Österreich.
Meiner Einschätzung nach sollte man heute um 17:15 den DP5-Vortrag nicht verpassen, aber der leider parallel liegende Vortrag "What Ever Happened to Nuclear Weapons" ist mindestens genau so wichtig. Ich schau mal, wo ich einen guten Sitzplatz finde, und den anderen gucke ich dann auf Video. Um 18:30 würde ich den Thunderstrike-Vortrag gucken.
Um 21:15 gibt es in Saal 2 einen Vortrag über Nordkorea, der wird bestimmt voll :-)
Um 22:00 verspricht der Perl-Vortrag hochkarätig zu werden.
Heute morgen bin ich direkt von einem FAZ-Reporter zu Regin befragt worden, und habe das ein bisschen auf eine generelle Malware-Schiene umzubiegen versucht. Mal gucken, wie das wird. Danach wurde ich direkt von Tilo Jung abgefangen, der hier auf dem Congress herumrennt und Interviews führt. Wir haben uns vorher ein bisschen darüber unterhalten, was wir für ein gutes Interview halten, und ob der Interviewer da Positionen bekleiden sollte oder nur den Interviewpartner reden lassen sollte. Ich finde ja letzteres. Das optimale Interview ist eines, bei dem der Interviewer dem Interviewgast ein paar Stichworte hinlegt und ihm dann nicht dabei im Wege steht, wenn er sich um Kopf und Kragen redet. Tilo war kürzlich in Israel und Paälstina und hat dort mit allen Seiten Interviews geführt, und erzählte, dass er dann erst dafür kritisiert wurde, er würde ja nur die eine Seite zu Wort kommen lassen, und als er dann mit den anderen redete, wurde er dafür kritisiert, denen nicht ins Wort gefallen zu sein, als die da krude Parolen äußerten und sich zum Klops machten. Dieses Muster (jetzt nicht mit Israel und Palästina) habe ich schon häufiger beobachten können und finde es ausgesprochen deprimierend. Ich hatte da vor ein paar Wochen schonmal was zu gebloggt, und so fragte mich dann Tilo auch zu Ken Jebsen. Ich hoffe, ich habe mich da jetzt nicht zu sehr um Kopf und Kragen geredet *hust*. Soviel ist jedenfalls klar: Je weniger Struktur der Interviewer vorgibt, desto mehr Gelegenheiten zum Verplappern hat der Interviewpartner. Vorsicht bei Interviews mit Tilo! :-)
"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."Na gut, Fox IT ist eine üble Trojanerbude. Wie sieht es denn mit seriösen Antivirenfirmen aus, sagen wir mal F-Secure?Mikko Hypponen, a renowned security expert and chief research officer for F-Secure, said that while they had detected some parts of Regin since 2009, they were not at liberty to discuss their discovery due to confidentiality agreements with customers who asked them not to publish details of hacks they suffered.2009!!!
Update: Und um die Apokalypse perfekt zu machen, gab es auch in der von Chrome und Firefox verwendeten SSL-Library einen RSA-Signatur-Bypass. Ja super! Sonst noch was?
Update: Ah, Busybox ist doch nicht betroffen, höre ich gerade, sondern nur Geräte mit Cyanogenmod, die bash statt der Shell von Busybox nehmen.
Update: Es gibt schon die erste Malware damit.
Update: Mein Freund Andreas hat mal einen Patch gemacht, der das ganze kaputte Feature wegoperiert. Wer will schon Shell-Funktionen im Environment haben!? Das ist relativ zu bash-4.3.24 (nicht .25).
Die Sicherheit ihres Rechners wird durch ein Firefox Add-on eingeschränkt. [Sicherheit wieder herstellen]Wenn man da drauf klickt, kommt man bei browsersicherheit.info raus, das ähnlich wie gelbe Balken eben auch nach dem Rezeptbuch der Malware-Mafia so designed wurde, dass es optisch wie die Chrome-Einstellungen aussieht. Dort wird dem Leser dann suggeriert, er habe sich ein Malware-Addon eingefangen und müsse das dringend wegmachen.
Sowas kennt man sonst nur von Botnet-Betreibern und Schlangenöl-Resellern. Ihr wisst schon, diese Scareware-Popup-Leute. "YOUR PC IS INFECTED!"
Lustigerweise haben sie dann da eine Liste von gefährlichen Addons, die man dringend mal deinstallieren sollte. Die Hälfte davon sind Adblocker.
Wow, GMX. Ernsthaft? Ihr spielt jetzt auf dem Niveau und mit den Methoden von Malware-Verbreitern? Na dann wundert euch aber auch nicht, wenn euch eure Kunden in Scharen weglaufen.
Update: Das selbe in Grün bei web.de, ist glaube ich auch die selbe Firma. (Danke, Andreas)
Update: Wieso würde die NSA deren Pakete abfangen wollen? Sie arbeitet im Tor Core Team mit. (Danke, Dietrich)
The PC in question stores about 42,000 emails and training reports. There is a record of external transmission, and part of the information may have been stolen.Aber keine Sorge, ist alles in Ordnung:"It is not likely that critical security information has been leaked outside," JAEA explains.m( (Danke, Gunnar)
Viel Spaß (?) beim Angucken. Wenn ihr volljährig seid, lohnt sich vielleicht das Bereitstellen von alkoholischen Getränken. Der Vortrag ist harter Tobak.
Eingangs konfrontierte er General Alexander mit der angeblich in der Bevölkerung umgehenden Befürchtung, die NSA schneide alle Telefongespräche der Amerikaner mit und schreibe alle ihre Emails ab. Dankbar gab der General Entwarnung!WHOA! Na ein Glück, dass wir das mal aufgeklärt haben! Ein Meilenstein des investigativen Journalismus. Und bizarrerweise hat CBS das tatsächlich als das zu verkaufen versucht. Eine ganz peinliche Sache.
Dass die Amerikaner im Gegensatz zu den Russen nicht Schach sondern Poker spielen, konnte man an dem FUD-Sähen zur Merkel-Frage gut beobachten. Keith Alexander hat das Merkel-Abschnorcheln kurz gefasst damit begründet, dass die Deutschen ja vermutlich auch das Weiße Haus abhören. Jedenfalls könnten die Deutschen diesen Verdacht nicht ausräumen, und man wisse ja, dass die Deutschen "große Geheimdienstkapazitäten haben und dass sie im Ausland Informationen sammeln — genau wie wir". Spätestens jetzt wäre der perfekte Moment, den BND endlich zuzumachen. Dann haben auch die Amerikaner keinen moralischen Vorwand mehr für ihr Tun.
Das Highlight für die Techniker unter uns war dann, als die investigativen Journalisten von CBS anfingen, chinesische Computersabotage anzuprangern. Die Aussage der NSA-Direktorin für Information Assurance Debora Plunkett (die ist vermutlich daran Schuld, dass Microsoft Secure Boot bei Windows 8 erfordert, das ist der zentrale Talking Point der Information Assurance-Leute aus der US-Regierung, und deren Zentrale ist die NSA) wird von CBS aufgesaugt wie Muttermilch. Die Chinesen hätten eine Super-Malware, die alle PCs "bricken" kann (d.h. so kaputt machen, dass sie nur noch als Briefbeschwerer nützlich sind). Wenn der Benutzer erst mal infiziert ist, muss er nur noch auf den Knopf drücken, der diese Wunder-Software startet, und dann macht die den PC kaputt! Das kann die ganze Wirtschaft der USA kaputtmachen!1!!
Um das mal ein bisschen abzukürzen: Die Frau hat Recht! Hier ist diese Super-Malware aus China!1!!
Der Punkt ist: Wenn der PC infiziert ist, ist er bereits kaputt. Den dann zu bricken ist keine Errungenschaft. Und wenn der Benutzer erst irgendwo draufklicken muss, dann senkt das die Gefährlichkeit der "Malware" unter die "müsste sich mal jemand kümmern"-Schranke. An der Stelle sei auch der Hinweis erlaubt, dass die "Antiviren"-Industrie auch regelmäßig fünf- bis sechsstellig viele PCs brickt, weil ihr Ranz irgendwelche inneren Organe von Windows als Malware "erkennt".
Schon die Idee, dass man mit sowas eine "Kettenreaktion" auslösen kann, um die US-Wirtschaft kaputtzumachen, ist grotesk. Wenn der PC gebrickt ist, kann er keine anderen mehr infizieren. Und wenn der User erst klicken muss, ergibt sich keine Kettenreaktion. Abgesehen davon: Wenn die US-Wirtschaft tot ist, wer kauft dann den Chinesen ihren Plunder ab? Dann implodiert doch deren Wirtschaft gleich mit! Aber soweit haben die "Journalisten" von CBS nicht gedacht.
Die Microsoft-Ankündigung, dass sie jetzt ihre internen Leitungen verschlüsseln wollen, beinhaltet diesen Satz:
Indeed, government snooping potentially now constitutes an “advanced persistent threat,” alongside sophisticated malware and cyber attacks.Mit anderen Worten: Die US-Regierung steht auf einem Niveau wie "die Russenmafia" und "die Chinesen". Sehr schön, dass das mal eine große Firma wie Microsoft so klar ansagt.
Update: Das mit dem SCADA ist anscheinend bloß der übliche Kaspersky-Brechdurchfall. Malware auf der ISS gab es 2008 schon mal.
Diese Annahme ist aus meiner Sicht fahrlässig bis grob fahrlässig. Das war schon länger einigermaßen klar. Aber wie das so ist: Die Hoffnung stirbt immer zuletzt. Jetzt ist es meiner Ansicht nach an der Zeit, die Hoffnung offiziell für tot zu erklären.
Der einzige Weg, wie Anonymität im Internet denkbar ist, ist bei Nicht-Echtzeit-Diensten. Aber sobald es eine vorhersagbare zeitliche Korrelation zwischen den verschiedenen Versionen des weitergeleiteten Traffics gibt, ist das für ein totales Überwachungssystem wie das der NSA zuweisbar. Man müsste dafür sorgen, dass der weitergeleitete Traffic weder in Zeit noch Größe eine Korrelation zeigt. Oder man müsste die ganze Zeit Cover Traffic haben, von dem sich die weitergeleiteten Nachrichten nicht unterscheiden. Das ist natürlich die Idee bei Tor, dass die ganzen anderen Tor-Nutzer für mich den Cover Traffic abgeben. Damit kann man Admins von Webforen, Stalker und die Polizei täuschen, aber vor der NSA kann man sich so nicht verstecken.
Übrigens, am Rande: ich las mir vorhin mal die Definition von Totalitarismus durch. Kann mir mal bitte kurz ein Experte erklären, wie man sich das in der Literatur so zurecht legt, damit die USA da nicht drunter fallen?
Update: Die IP-Adresse in der Tor-Malware kontaktiert übrigens eine IP-Adresse, die zur NSA gehört.
Update: Frank ist gerade sauer, dass ich sage, Tor sei gebrochen und hilft nicht und man soll sich doch am Besten gleich erschießen. Das sage ich nicht. Ob Tor im Moment noch hält oder nicht, das kann ich nicht sagen, weil alle vorliegenden Datenpunkte Hörensagen sind. Was ich aber beurteilen kann ist: Rein technisch gesehen gibt es keinen Grund für die Annahme, dass das nicht machbar ist, und wir wissen schon heute, dass die NSA die Verbindungsdaten langfristig speichert. Ich sage also im Moment nicht: benutzt kein Tor mehr. Im Gegenteil. Benutzt mehr Tor. Denn euer Traffic dient anderen als Cover Traffic. Aber denkt nicht, dass ihr deswegen sicher seid. Je mehr Leute Tor benutzen, desto größer ist das zu lösende Gleichungssystem. Dennoch ist das prinzipiell lösbar.
Meine eigentliche Aussage ist: Das Problem an sich, dass wir unseren Regierungen nicht mehr trauen können, und einer totalen Schnüffelei ausgesetzt sind, das ist kein Problem, das man technisch lösen kann.
Oh übrigens, nachdem sich schon die "die Chinesen hacken immer alles"-Geschichte ins Gegenteil umgekehrt hat, weil wir jetzt wissen, dass in Wirklichkeit die Amis immer alles hacken, hat Google mal ihre Malware-Statistik veröffentlicht, und siehe da, auch die ganze Malware wird in den USA gehostet, nicht in China. Na sowas.
Ich sage euch, wenn sich mal jemand anschaut, welches Land schlimmer die Umwelt verpestet, China oder die USA, dann gibt es die nächste "Überraschung".
Keine Ahnung, mir fällt keiner ein.
Die Contentmafia lobbyiert gerade in den USA für Malware-Legalisierung. Konkret:
a proposal to legalize the use of malware in order to punish people believed to be copying illegally. The report proposes that software would be loaded on computers that would somehow figure out if you were a pirate, and if you were, it would lock your computer up and take all your files hostage until you call the police and confess your crime.Mit anderen Worten: genau wie der BKA-Trojaner.
"Designate one computer to use for Twitter," the company recommends. "Don't use this computer to read email or surf the web, to reduce the chances of malware infection."Früher hat man noch sein Onlinebanking mit solchen Tipps zu verteidigen versucht. Heute Twitter.Der eine oder andere wird sich fragen, was man den tun soll, wenn man dann auf dem Twitter-Rechner doch Malware findet. Nun, ganz einfach. Wegschmeißen!1!!
They work primarily with the Ft. Meade customer … combination of offensive and defensive Cyber software engineering … Reverse Engineering, Penetration Testing, Malware Analysis, and the application of Big Data / Cloud technologies to Cyber problems … seeking Kernel and Device Driver Developers (Windows or Linux/Unix)Falls jemand nicht weiß, wer der Ft. Meade customer sein könnte: Wikipedia hilft. Da sitzen das United States Cyber Command und die NSA.
Die meisten wissen das nicht, aber habt ihr euch mal gefragt, wie Antiviren eigentlich Kernel-Malware desinfizieren? Die haben einen Kernel-Treiber, klar, aber den will man ja nicht jedesmal updaten müssen, wenn man eine neue Desinfektions-Methode einbaut. Daher haben die ganzen Schlangenöl-Lieferanten im Allgemeinen in ihrem Kernel-Treiber einen ioctl, der sie im Kernel-Space frei lesen und schreiben lässt. Die eigentliche Desinfektion findet dann per Peek und Poke aus dem Userspace statt. Dadurch werden dann natürlich elementare Grundsätze wie Code Signing für Treiber unterlaufen, und insgesamt die Sicherheit kaputtgemacht. Aber so funktionieren Antiviren. Fast alle. Soweit ich weiß alle, bis auf Windows Defender. Der hat sowas nicht.
Wenn man dieses Detail kennt, und sich dann überlegt, dass Firmen ihre Systeme zertifizieren lassen, wegen der Sicherheit, und dann die Sicherheitsversprechen wieder kaputtmachen, indem sie Schlangenöl mit Kernel-Poke-Funktionalität drüberinstallieren, dann sieht man, was für ein Wahnsinn das ist, was die Leute sich da alle installieren.
Tja, und jetzt ist auch der letzte Schlangenöllieferant umgefallen, Microsoft.
Vielleicht glaubt ihr mir jetzt endlich, wenn ich sage, dass Antiviren Systeme unsicherer machen statt sicherer.
Aber hey, der Zeitgeist geht hin zum Antivirus für Android.
On Friday March 8, a NIST firewall detected suspicious activity and took steps to block unusual traffic from reaching the Internet. NIST began investigating the cause of the unusual activity and the servers were taken offline. Malware was discovered on two NIST Web servers and was then traced to a software vulnerability.Einmal mit Profis arbeiten!
Noch schlechter: Sparkasse verteilt Malware. Die BESTEN der BESTEN der BESTEN, SIR!
[antivirus software] is homeopathy for computers: This software was in contact with malware in the past, so it’ll recognize other malware in the future. $79:-)
Over the course of three months, attackers installed 45 pieces of custom malware. The Times — which uses antivirus products made by Symantec — found only one instance in which Symantec identified an attacker’s software as malicious and quarantined it, according to Mandiant.Zing! Symantec will sich dazu nicht äußern. Ach was, warum denn nicht?Ausgangsort für die Trojaner war die Berichterstattung der New York Times über die Korruption in der Familie von Premierminister Wen Jiabao. Die Times bemüht sich, das auf den ersten Seiten so klingen zu lassen, als hätten sie das die ganze Zeit im Griff gehabt, hätten da Experten rangezogen zur Analyse, und das sei nur so lange gelaufen, weil sie das rückverfolgen wollten. Der Eindruck geht auf den Folgeseiten weg.
From there they snooped around The Times’s systems for at least two weeks before they identified the domain controller that contains user names and hashed, or scrambled, passwords for every Times employee.Und ab da ist das natürlich nicht mehr so schwierig.Investigators found evidence that the attackers cracked the passwords and used them to gain access to a number of computers. They created custom software that allowed them to search for and grab Mr. Barboza’s and Mr. Yardley’s e-mails and documents from a Times e-mail server.Das ist schon ein echter Totalschaden. Ich bewundere, wie die sich da jetzt einreden können, sie hätten das alles repariert und jetzt seien sie wieder sicher.
We left our phones and laptops behind in China, since we were warned they'd be confiscated in NK, and probably infected with lord knows what malware.Wie, Moment, ihr habt eure Geräte aus Angst vor Malware in China zurückgelassen!?Ihre erste Beobachtung war, dass die Gebäude alle nicht geheizt waren, und sie sich den Arsch abgefroren haben. Den Rest kann man sich auch sparen, ziemlich unerträgliches abwertendes Belächeln der Lebensumstände da. Ein bisschen weniger US-Milliardärin raushängen lassen und ein bisschen mehr Zurückhaltung wäre hier mehr gewesen.
A commission statement says while that posed no immediate safety threat, the shutdown raised questions in the wake of unplanned shutdowns on Nov. 9 and Dec. 16.The power plant near Berwick is operated by Allentown-based PPL Corp. A PPL spokesman says the plant was always in a stable and safe condition.
Ich bin mir sicher, das hat gar nichts, aber auch GAR nichts mit dieser Meldung hier zu tun.
Erstens hat ja keiner geglaubt, dass das BKA die technische Kompetenz hat, Trojaner zu bauen. Haben sie auch nicht. Dafür gibt es jetzt ein "Kompetenzzentrum Informationstechnische Überwachung" (CC ITÜ). Ich wäre ja lieber arbeitslos und würde vom Arbeitsamt mit Hartz IV Auflagen gegängelt als bei so einem Laden mitzuarbeiten. Die sollen sich alle mal schämen, die da arbeiten. Und dann über China meckern, so haben wir es gern!
Die zweite spannende Neuigkeit ist, dass das BSI eingeknickt ist. Das BSI, eine Ausgliederung des BND, hat es ja schon immer schwer, plötzlich als Behörde ernstgenommen zu werden, die für den Schutz der Bevölkerung vor digitaler Spionage zuständig ist. Gut, besonders beeindruckend waren ihre Leistungen auch nie. Das einzige, was man ihnen zu gute halten konnte, war dass sie sich geweigert haben, unserer Junta ihre Spionagewerkzeuge zu zertifizieren. Das war der ausdrückliche Wunsch der Möchtegerne-Unterdrücker von der CDU, aber das BSI hat immer argumentiert, dass das ihre Glaubwürdigkeit zerstören würde, wenn sie das täten. Jetzt gibt es eine Lösung:
Die Software zur Durchführung von Quellen-TKÜ wird durch ein BSI-zertifiziertes Prüflabor geprüft.Seht ihr? Ganz einfach! Das BSI zertifiziert jetzt nicht die Malware direkt, sondern sie zertifizieren ein Malware-Prüflabor! DAS ist natürlich was GANZ anderes, liebes BSI! DANN kann man ÜBERHAUPT NICHT davon sprechen, dass ihr eure Glaubwürdigkeit im Klo runtergespült habt, da ist ja noch eine Indirektion dazwischen!1!! Und Schwarz-Geld kann ruhig schlafen, weil sie wissen, dass das BSI über Bande ihre Diktatur-Technologie zertifiziert hat.
Update: Die Haupt-Lektion für mich wäre, nie wieder einer Prüfung zu trauen, wenn sie von einer BSI-zertifizierten Prüffirma kommt. Da muss man ja dann davon ausgehen, dass es einen Interessenskonflikt gibt, und die Hintertüren für staatliche Malware und Schnüffelmaßnahmen vor mir geheim halten würden. Wenn jemand eine Liste der zertifizierten Prüflabore findet, freue ich mich über eine Mail.
Update: Das hier sieht wie die Liste aus. Ich rechne also damit, dass der Trojaner dann von den Spezialexperten von T-Systems "geprüft" werden wird. Wir müssen uns also keine Sorgen machen.
We also find that a typical zero-day attack lasts 312 days on average and that, after vulnerabilities are disclosed publicly, the volume of attacks exploiting them increases by up to 5 orders of magnitude.Mit anderen Worten: Antiviren funktionieren ÜBERHAUPT GAR NICHT. Ich sage das ja schon seit Jahren, aber dann kommen immer so Apologeten und erzählen was von verhaltensbasierter Malwareerkennung. Offensichtlich taugt die genau gar nichts, sonst würden die 0days nicht durchschnittlich fast ein Jahr lang unentdeckt bleiben. Lustigerweise arbeiten die beiden Autoren des Papers bei … Symantec. Hups. Da war wohl gerade der Zensor pinkeln.
Außer natürlich der User hat das Telefon die ganze Zeit in der Hosentasche oder in einer nicht durchsichtigen Schutzhülle.
Klar: Da geht man zu Adobe!
Aber hey, die "Fachpresse" und die "Experten" werden weiterhin Antiviren empfehlen.
Jetzt wäre mal eine Statistik schön, wieviel Bandbreite die ISPs für Pornographie-Transport verbrauchen. Großzügigerweise will Vodafone ihren Kunden erlauben, eine Liste von doch erlaubten Porno-Domains beim ISP zu hinterlegen, um doch Zugriff zu kriegen. Das werden bestimmt total viele Kunden machen!1!!
Abgesehen davon geht es natürlich den ISP überhaupt rein gar nichts an, was für Webseiten ihre Kunden klicken. Frechheit!
Update: Vodafone dementiert, sagt das sei alles ein Missverständnis.
The FBI denied that it ever had that information. But officials there said they could not verify the validity of the data that AntiSec released. Federal officials also warned that computer users should be careful when clicking on such links because they sometimes may contain malware that can infect computers.BWAHAHAHAHA, nee klar. Erinnert mich an einen Calvin and Hobbes Comic. "It wasn't me! Nobody saw me! I was framed! I wouldn't do anything like that!"Fängt wie ein Dementi an, aber wird dann so schnell schlechter und schlechter, dass man es am Ende nur noch als Schuldeingeständnis werten kann. :-)
Update: Oh übrigens hatten diese geleakten Daten durchaus humoristische Aspekte.
Update: Apple dementiert, dem FBI die Daten gegeben zu haben. Sie dementieren natürlich nicht, die Daten zu haben. Und danach fragt leider niemand, wieso Apple eigentlich Daten über Käufer ihrer Geräte haben muss.
Microsofts Dementi spricht Bände:
"We can confirm that we are not building a historical database of program and user IP data," a spokesperson told El Reg. "Like all online services, IP addresses are necessary to connect to our service, but we periodically delete them from our logs. As our privacy statements indicate, we take steps to protect our users’ privacy on the backend. We don’t use this data to identify, contact or target advertising to our users and we don’t share it with third parties."Nirgendwo bestreiten sie, dass sie die Daten kriegen. Den Rest sollen wir dann halt glauben.
“Specifically, there have been instances of employees and contractors accessing websites, or transmitting messages, containing pornographic or sexually explicit images,” James wrote in the July 27 memo obtained by Bloomberg News.“These actions are not only unprofessional, they reflect time taken away from designated duties, are in clear violation of federal and DoD and regulations, consume network resources and can compromise the security of the network though the introduction of malware or malicious code,” he wrote.
Sprecht mir also nach: Antiviren sind Snake Oil.
Nun, nehmen wir mal an, Microsoft will euch ein Update schicken. Das hat dann eine digitale Signatur dran. Microsoft unterschreibt das Update, damit der installierende Rechner sicher sein kann, dass ihm da keiner ein Kuckucksei unterschiebt.
Wenn man jetzt eine normale Zertifikats-Validierung macht, dann prüfen die Routinen, dass das Zertifikat von jemandem vertrauenswürdigen kommt. Ich hatte das Problem mit den vertrauenswürdigen CAs hier schon mal thematisiert. In der Liste der vertrauenswürdigen CAs stehen alle möglichen Firmen drin, denen Microsoft natürlich nicht einräumen will, dass sie ihre Updates signieren. Also machen sie noch mehr als bloß das Zertifikat zu validieren — sie prüfen, dass die Root-CA am Ende der Kette Microsoft ist.
Das klingt gut und hat auch immer schön funktioniert — bis heute, wo plötzlich ein Zertifikat auf die Schwarze Liste gesetzt wird, das eine Microsoft-Signatur trägt.
Hier ist, wie es dazu kommen konnte:
What we found is that certificates issued by our Terminal Services licensing certification authority, which are intended to only be used for license server verification, could also be used to sign code as Microsoft. Specifically, when an enterprise customer requests a Terminal Services activation license, the certificate issued by Microsoft in response to the request allows code signing without accessing Microsoft’s internal PKI infrastructure.Das heißt, dass es möglich war, dass jemand von außen eine digitale Signatur erstellen konnte, die zu der Microsoft-Root-CA hoch verkettet ist. Mit so einer Signatur hätte man womöglich automatisiert bösartige Updates verschicken können. Ich kann gar nicht genug betonen, was das für ein Totalschaden ist.Wenn man ein Stück Code lädt, und Windows zeigt einem den "willst du das ausführen"-Dialog, hat der eine beruhigendere Farbe, wenn das "von Microsoft" signiert ist.
Ich würde mal vermuten, dass man auch diverse interne Dienste von Microsoft so nachahmen könnte, vielleicht Crash Reporting oder Antimalware-Selbstaktualisierung, wer weiß wie das alles funktioniert. Und solange die kryptographisch prüfen, dass sie "mit Microsoft" reden, wer weiß wie ordentlich die die Protokolle abgesichert haben.
Die Lektion an der Stelle muss sein, dass man auch bei ordentlicher Krypto-Absicherung trotzdem alle Protokolle richtig sichert. Und natürlich dass man in Zukunft besser aufpasst beim Aushändigen von Zertifikaten :-)
Update: Mikko Hypponen kommentiert:
Microsoft CA is the most whitelisted CA in the world. Forging a Microsoft code signing certificate is the holy grail of malware writers.
und:
This is huge. Using Windows Update itself as an infection vector has always been something we've been scared about.
nachdem jemand schrieb, Flame habe ein Man-in-the-Middle-Modul für Windows Update gehabt.
Update: Mir mailt gerade jemand, dass man den Patch nur nach bestandener Genuine Advantage-Prüfung ausführen kann. Was zur Hölle haben die denn da schon wieder verkackt. War die Ansage nicht mal, dass nur nichtessentielle Updates ohne Genuine Advantage blockiert werden? Oh und er schrieb auch, dass das Datum unter der Signatur von dem Patch der letzte Donnerstag ist, d.h. da saßen sie auch schon wieder eine halbe Woche drauf. Seufz.
Update: Ich wurde gerade darauf hingewiesen, dass hier ein wichtiger Satz fehlt.
Sprecht mir also nach: Code Signing ist Snake Oil :-)
Erstens: Kaspersky hat ihr Malware-Sample von der ITU.
Zweitens: Die ITU fordert seit letzter Woche ein internationales Cyberwar-Abkommen. Äh, Cybersecurity!1!! Natürlich gänzlich ohne Einbeziehung der Zivilbevölkerung und mit Verhandlungen hinter verschlossenen Türen. Wo kämen wir da hin, wenn das Volk sich in der Presse über die Details informieren könnte!
Nun war das Volk anscheinend nicht ausreichend sensibilitisiert für die Notwendigkeit eines solchen Abkommens, daher hat die ITU offensichtlich mal ein bisschen nachgeholfen. (Danke, Andreas)
Ich meine so zu ihm, naja, sqlite drin, und lua, das klingt jetzt nicht gerade wie der Höhepunkt der Malware-Kunst.
Da meint er zu mir:
Sounds like something a defense contractor would do."Let's make it easily scriptable"
Wunderbar auf den Punkt gebracht, finde ich. Oh und im Übrigen guckt er sich die Strings und Screenshots an und meinte "that looks like it was done by Americans" :-)Also das letzte Statement halte ich eher für Bauchgefühl, das würde ich so nicht direkt schließen wollen, aber das davor würde ich sofort unterschreiben.
Die Frage ist, ob Kaspersky jetzt ein bisschen nachhelfen wird bei der Malware-Problematik.
Ich persönlich finde ja, wenn sich Apple und Kaspersky streiten, dann kann es nur Gewinner geben. (Danke, Peter)
Kann ja mal passieren, bedauerliches Missverständnis *hust*
"Die Fachleute vom Landeskriminalamt sagen, die von ihnen eingesetzte Software konnte genau nur das, was der Richter angeordnet hat", sagte Herrmann dem Münchner Merkur und wies damit erneut die Erkenntnisse des CCC als falsch zurück.Mir ist ja völlig unklar, wie manche Leute es schaffen, die Realität so vollständig auszublenden. Ich meine, wir haben das im Fernsehen gezeigt, wie wir mit seinem Trojaner ein calc.exe starten auf dem Zielrechner. Wie kann der jetzt noch leugnen, dass der Trojaner keine Malware-Nachladefunktion hat?! Hallo, jemand zuhause?
Vielleicht ist das ja bei der CSU Voraussetzung für die Mitgliedschaft. Der Guttenberg hat ja auch erstmal versucht, die Realität einfach nicht zu glauben.
Naja und wenn man schon am Leugnen der Realität ist, dann kann man natürlich zu den lustigsten Schlussfolgerungen aus seiner persönlichen Nicht-Realität kommen. Beim Herrn Herrmann z.B. das hier:
"Der Chaos Computer Club heißt so, weil er genau dieses Selbstverständnis hat", sagte Herrmann der Münchener Boulevardzeitung und wies jegliche Abstimmung mit dem CCC in der Frage zurück. "Das kann kein Partner sein für eine Behörde, die für Recht und Sicherheit steht."Das ist gleich auf mehreren Ebenen ein echter Kracher. Wie kommt der denn darauf, dass wir seinem Polizeistaat noch helfen wollen würden?! Grotesk.
Naja, wie das so ist. Die Altersdemenz-Diagnose wird häufig viel zu spät gestellt.
Update: Das Video findet ihr unter dem schönen Namen haha.kaputte.li :-)
Also was schreibt er denn da so.
Das BKA hat keinen Verfassungsbruch begangen!Das wird sich zeigen.
In unsere OLD- und Quellen-TKÜ-Software war zu keinem Zeitpunkt eine rechtswidrige Hintertür zum Aufspielen von Ausspähprogrammen eingebaut.Das klingt gut, leider wird es noch im selben Dokument auf Seite 7 der Lüge überführt:
Update selbst wird mit der Updatefunktionalität der Digitask-Aufzeichnungseinheit durchgeführt (Updates werden protokolliert)Das mit dem Protokoll klingt gut, aber leider ist ein Protokoll auf Seiten des Trojaners wertlos, weil es von Dritten manipuliert werden kann, und ein Protokoll auf Seiten des BKA ist auch wertlos, weil über die Schnittstelle auch von Dritten weitere Malware hochgeladen worden sein kann, ohne dass das überhaupt beim BKA vorbeikommt.
Es gibt keinen Zugriff von Dritten auf die Software des BKA.Da bin gespannt auf Ihre Beweisführung, Herr Ziercke!
Die Planung, Durchführung und Nachbereitung von Quellen-TKÜ und Online-Durchsuchung folgen einem detaillierten Phasenkonzept, einschließlich ausdifferenzierter Prüf- und Kontrollmechanismen.Bei dem Satz muss jemand den Inhalt mitzuübertragen vergessen haben. Hier ist jedenfalls keiner angekommen. Auch die ganze Seite 4 ist reiner "Beweis durch Behauptung"-Kinderkram. Damit können sie vielleicht jemanden wie den Uhl überzeugen, aber sonst niemanden. Kein Wunder, dass sie das hinter verschlossenen Türen vor ausgesuchtem Publikum gehalten haben. Sonst wären sie ja aus dem Saal gelacht worden damit.
Dann machen sie noch die Ansage, dass sie in Amtshilfe für Rheinland-Pfalz und Hessen Trojaner verteilt haben. Sehr schön!
Desweiteren verweisen sie auf ihre ISO 9000ff-Zertifizierung (HAHAHAHA, Snake Oil zum Quadrat, das lässt ja tief blicken, dass sie DAS als Beleg für ihre Integrität nehmen!) und ein Phasenkonzept. Wer schonmal in einer WG gewohnt hat, mit Konzept zum gemeinschaftlichen Geschirrspülen und Müllrunterbringen, der wird das ähnlich erheiternd finden wie ich jetzt. Sie zitieren da ab Seite 6 das Phasenmodell. Ich kann das nicht mal pasten hier, ich hab vom Fremdschämen Rheuma gekriegt und kann die Maus nicht mehr schieben. AU DIE SCHMERZEN! Das einzige, was man da mitnehmen kann, ist dass es einen Amtsleitungsvorbehalt gibt. D.h. die Amtsleitung steht jetzt persönlich mit einem Bein im Knast und kann das nicht mehr auf inkompetente Angestellte abwälzen.
Schließlich kommen dann auch noch die Ausflüchte zu dem Proxy, bzw. kommen sie gerade nicht. Da steht nur:
zur Verschleierung der Q-TKÜ gegenüber dem Tatverdächtigen wird die gesamte Kommunikation der Software über mindestens zwei Proxy Server geleitetEin Schelm, wer böses dabei denkt.
auf diesen Proxy Servern werden keinerlei Daten abgelegt, sondern lediglich eine Durchleitung - über nicht-deutsche Server – vorgenommenAch sooo! Das ist nur eine Durchleitung! Na dann kann da ja nichts passieren. Immerhin: Sie geben zu, dass sie durch das Ausland routen. Das macht aber nichts (Seite 11), weil:
Richtig ist vielmehr, das die Daten über einen ausländischen Server lediglich verschlüsselt weitergeleitet und nicht auf dem ausländischen System gespeichert werden.Ich bewundere deren Chuzpe, ihre Pfusch-Verschleierung als "Verschlüsselung" zu bezeichnen. Oh und die scheinen noch nicht verstanden zu haben, dass man mit einem Proxy auch durchfließende Daten manipulieren kann.
Ein schöner Lacher ist noch die "Beendigungsphase":
No shit, Sherlock! Mit forensischen Methoden durch Dritte analysiert, ja? *schenkelklopf*
- Überwachungssoftware wird möglichst im Rahmen operativer Maßnahmen physikalisch gelöscht
- sofern mangels Zugriff auf das überwachte System physikalisches Löschen nicht realisierbar, wird auf die eingebaute Löschfunktion zurückgegriffen
- bei letztgenannter Alternative (sogen. Fernlöschung) besteht ein Restrisiko, dass die Software oder Teile davon zu einem späteren Zeitpunkt mit forensischen Methoden durch Dritte analysiert werden
Die nächste Frage, die sich stellt, ist was es mit der "revisionssicheren Dokumentation" zu tun hat, die gestern alle CDU-Tontauben nachgebetet haben.
Das ist nicht gut, weil "alle gewonnenen Daten" auch den Kernbereich der privaten Lebensgestaltung betrifft und nach Vorgabe des Bundesverfassungsgerichts solche Daten sofort gelöscht werden müssen. Und überhaupt stellt sich natürlich die Frage, was auf ein Protokoll zu geben ist, dass im Fall eines Manipulationsvorwurfes vom Angeklagten selber geführt wurde. Ich sage: gar nichts. Da müsste man schon besondere Maßnahmen ergreifen, um eine Manipulation besonders schwer zu machen, z.B. per Read-Only-Ausleitung der Logdaten in einen physisch separaten Logging-Bereich, bei dem nur hinten angefügt und nichts gelöscht oder überschrieben werden kann nachträglich. Was das BKA aber darunter versteht:
- Sämtliche durchgeführten Aktionen (Updates, Modulaktivierungen und -deaktivierungen) werden protokolliert.
- Des Weiteren sind dort alle gewonnenen Daten (Gespräche, Chatnachrichten, übertragene Dateien) auswertbar vorhanden.
Die operativen Worte hier sind "aus der Bedienoberfläche heraus". Wenn jemand weiß, wie man es außerhalb der Bedienoberfläche manipuliert, ist das Scheunentor offensichtlich offen. Daher dementiert das BKA auch gleich so doll sie können (ein lauer Windhauch würde diese Argumentation wegwehen):
- Das systemtechnische Protokoll ist aus der Bedienoberfläche heraus nicht manipulierbar.
ACH, für das BKA soll die Unschuldsvermutung gelten, wenn sie mit thermonuklearen Trojanern herumhantieren? Aber umgekehrt dürfen unsere Behörden uns trojanisieren, selbst wenn wir nachweislich überhaupt nichts angestellt haben, unter der Maßgabe der Gefahrenabwehr? Im Übrigen ist das mit dem administrativen Zugang nicht glaubwürdig. Wenn das GUI ohne Admin-Zugang in die Datenbank schreiben kann, dann kann das auch der Benutzer des GUIs. Er muss sich nur die Zugangsdaten für die Datenbank aus dem GUI rauspopeln.
- Löschen von Protokolldaten wäre nur mit administrativem Zugang (nicht der Ermittlungsbeamte, nur der Techniker hat Zugang) auf die zugrundeliegende Datenbank und entsprechendem technischen Aufwand bei gleichzeitiger krimineller Energie möglich. Dafür gibt es keinem Fall auch nur die Spur eines Verdachts!
Und ob das BKA kriminelle Energie hat, das ist ja wohl eine Frage des Blickwinkels. Die wollen Trojaner bei den Bürgern installieren! Wenn die Russen das tun, nennt man das "Mafia" und "organisierte Kriminalität" und die Politik nimmt es als Anlass, um noch mehr Trojanereinsätze zu begründen!
Aber hey, ist ja noch nicht fertig. Hier ist noch ein echtes Highlight:
Falsch ist, dass das BKA eine Überwachungssoftware verwendet, die mit einer unsicheren symmetrischen Verschlüsselung arbeitet und nur in eine Kommunikationsrichtung verschlüsselt. Wir verschlüsseln in beide Richtungen!HAHAHAHAHAHAHA, das alleine ist ja schon so ein Brüller, ich lach mich kaputt. Wir verschlüsseln in beide Richtungen mit einem unsicheren symmetrischen Cipher!1!!
Richtig ist, dass ein gemeinsamer Schlüssel zwischen Software und Einsatzservern vergeben wird. Dies dient der Verschlüsselung und der Authentifizierung.OH DIE SCHMERZEN! Sie bestätigen also direkt, was sie im Absatz davor noch dementiert haben. Gut, mit einem symmetrischen Schlüssel kann man sich nicht authentisieren, das weiß schon jeder Informatik-Studienabbrecher, das meinen die bestimmt nicht ernst? Doch, meinen sie!
Der Kommunikationspartner kann sich ohne diesen Schlüssel nicht als gültiger Partner ausgeben.Liebes BKA. IHR LIEFERT DEN SCHLÜSSEL AUS. Der ist im Trojaner drin. Der ist nicht geheim. Und man kann mit ihm nichts authentisieren. Fragt doch mal eure Krypto-Kollegen vom BSI, die haben dem Vernehmen nach Reste von Krypto-Knowhow am Start. Wenn die nicht alle schon dem Herzinfarkt erlegen sind angesichts eurer haarsträubenden Äußerungen hier, dann werden sie euch zumindest bestätigen, wie tief euer Unwissen hier reicht. "Wir haben da auch Experten", dass ich nicht lache. Gut, helfen werden euch die BSIler nicht, das haben sie ja schon angesagt. Aber euch ist ja eh nicht zu helfen.
Weiter im Text. Es fehlt ja noch der Teil, wo sie den CCC als die Bösen hinstellen. Hier ist er:
Seit der Veröffentlichung der Signatur der Verschlüsselung durch den CCC könnten noch laufende Maßnahmen entdeckt werden. Das BKA hat daher in einem aktuellen Verfahren der organisierten Rauschgiftkriminalität die Maßnahme sofort abgebrochen und dies der Staatsanwaltschaft und dem anordnenden Gericht mitgeteilt. Dies ist auch den Bundesländern mitgeteilt worden.ORGANISIERTE RAUSCHGIFTKRIMINALITÄT!!1! Mit anderen Worten: noch eine Online-Apotheke.
Oh, eine Sache möchte ich schon noch ansprechen:
Die Quellen-TKÜ-Software ist auf das Zielsystem und die dort installierte Skypeversion ausgerichtet. Bei einem Skypeupdate muss daher auch die Quellen-TKÜ-Software angepasst werden, da ansonsten die Kommunikation nicht mehr aufgezeichnet wird.Das klingt für mich nach Unsinn. Ich behaupte, dass das auch ohne Updates geht.
Das BKA behauptet weiterhin, das Verfassungsgericht habe nicht gesagt, ein Mehr an Funktionalität sei generell verboten, sondern nur dann,
wenn – und darauf kommt es dem BVerfG an - die durch eine Nachladefunktion eingesetzte Software zum Ausspähen von weiteren Daten genutzt würde.Hier ist, was das Verfassungsgericht tatsächlich urteilte:
Art. 10 Abs. 1 GG ist hingegen der alleinige grundrechtliche Maßstab für die Beurteilung einer Ermächtigung zu einer „Quellen-Telekommunikationsüberwachung“, wenn sich die Überwachung ausschließlich auf Daten aus einem laufenden Telekommunikationsvorgang beschränkt. Dies muss durch technische Vorkehrungen und rechtliche Vorgaben sichergestellt sein.Es geht also nicht darum, ob die nachgeladene Software tatsächlich benutzt wird, um mehr abzuhören, sondern es müssen technische und rechtliche Vorkehrungen da sein, um zu verhindern, dass das geschehen kann. Das ist hier nicht der Fall, daher handelt es sich um eine klare Verletzung des Urteils.
Gegen eine bloße Aktualisierungsfunktion kann das BVerfG keine Einwände haben, weil sonst die Maßnahme an sich gefährdet wäre.Den Typen, der diese Argumentation gemacht hat, würde ich gerne hinter Gittern sehen. "Ich MUSSTE den Laden ausrauben, Euer Ehren, denn mir ist ja Fahrradfahren erlaubt, und wenn ich denen nicht ein Fahrrad gestohlen hätte, dann wäre ja die Fahrradfahr-Maßnahme an sich gefährdet gewesen!1!!" Dass solche Leute überhaupt frei rum laufen können, irritiert mich maßlos, aber dass sie auch noch für Bundesbehörden der Exekutive Statements formulieren, das schlägt dem Fass den Boden aus. Wenn ihr es unter den Vorgaben nicht hinkriegt, DANN KÖNNT IHR ES HALT NICHT MACHEN. Ganz einfach!
Immerhin sehen sie auch selber ein, dass ihre Beweise da wertlos sind, und weil sie keine tatsächliche Überprüfung machen können, …
Das BKA hat am 11./12.10.2011 alle Protokolle bisheriger Quellen-TKÜ-Maßnahmen mit der DigiTask-Aufzeichnungseinheit unter Beteiligung der Beauftragten für den Datenschutz sowie für die IT-Sicherheit im BKA auf Plausibilität kontrolliert hat.Äh, auf … Plausibilität?! So Pi mal Daumen oder wie? Geschaut, dass keine Logeinträge von Freitag nachmittag kommen, weil da die Beamten auf dem Heimweg sind? Oder wie habe ich mir das vorzustellen? Wenig überraschend haben sie nichts gefunden:
Im Ergebnis konnten keine Hinweise festgestellt werden, dass im BKA eine Software eingesetzt wird, die über die rechtlich zulässigen Grenzen der Quellen-TKÜ hinausgeht und dass im Rahmen der bisher erfolgreich durchgeführten Quellen-TKÜ-Maßnahmen unzulässige Daten ausgeleitet werden.Natürlich nicht. Anhand einer "Plausibilitätsprüfung" der Logdateien kann man sowas ja auch nicht beurteilen.
Auf Seite 11 gibt es dann noch die Ausrede, wieso der Proxy in den USA steht. Achtung: fest sitzen bei der Lektüre:
Der Grund für diese Verschleierung ist kriminalistischer Natur. Skype selbst nimmt beim Start automatisch Kontakt mit einem Server in den USA auf. Für den versierten User sollte durch die Quellen-TKÜ- Software kein anderer Eindruck entstehen.m(
Halt, einen hab ich noch. Wie das BKA prüft. Ihr sitzt hoffentlich weiterhin fest:
Das BKA testet die bestellte Software mit Hilfe eines sogen. Positivtests, der der Funktionalitäten der Software und die Reaktion der vom Zielsystem eingesetzten Sicherheitssoftware (Virenscanner, Firewall) prüft. Die Maßnahme wird als einsatzfähig betrachtet, wenn die bestellten Funktionalitäten vorhanden sind, und die Sicherheitssoftware keine Warnungen produziert.Selbstverständlich sind so keinerlei Aussagen über eventuell zusätzlich vorhandene Funktionalität treffbar.
Update: Oh und natürlich ist der Paragraph mit den abgebrochenen Einsätzen auch gleichzeitig das Eingeständnis, dass ihre angeblich ganz andere Version des Trojaners das selbe schlechte Protokoll einsetzt und damit so verschieden nicht sein kann.
Update: Weil ich jetzt mehrfach darum gebeten wurde, hier nochmal explizit die letzte Zeile aus dem PDF:
Glauben Sie mir, meine Mitarbeiter verstehen das nicht!
Daran zweifelten wir auch keine Sekunde, Herr Ziercke!
In diesem Fall scheint es wohl sogar tatsächlich Parallelen zu geben. Wie spannend das jetzt wirklich ist, das wird sich zeigen müssen. Mein erster Eindruck ist nicht, dass da gerade Geschichte geschrieben wird. Wer sich selber eine Meinung bilden will: Hier ist ein Whitepaper dazu von Symantec.
Oh und wo wir gerade bei Malware sind: inzwischen gibt es auch einen Kaspersky-Blogeintrag zum Staatstrojaner-Dropper. Der kursiert seit einer Weile in der Antivirusindustrie. Ein Dropper ist sowas wie ein SETUP.EXE für Viren, der Installer sozusagen. In dem Dropper kann man sehen, dass es auch ein 64-bit Kernelmodul gibt. Wir hatten uns ja darauf gefreut, dass man da womöglich eine die Quelle preisgebende Signatur dran sehen könnte, aber das ist leider nicht so. Da ist zwar ein Zertifikat dran, aber das ist nicht vertrauenswürdig und wird daher von Windows abgelehnt. Hier wäre also ein weitere Eingriff durch die installierende Behörde nötig, damit das überhaupt sauber lädt.
Unsere Beamten halten sich strikt an das, was sie dürfen“, sagte Friedrich der „Frankfurter Allgemeinen Sonntagszeitung“. „Die Behauptung, sie hätten mehr gemacht, ist falsch.“Das ist ein erbärmlicher Versuch, von der Tatsache abzulenken, dass schon der Einsatz einer solchen Software ein Verfassungsbruch ist, unabhängig davon ob sie auf den Nachladen-Knopf gedrückt haben oder nicht. Und wie transparent er hier versucht, Patriotismuspunkte für die Verteidigung der Polizei einzuheimsen, und deren guten Ruf zum Abdichten der Lecks in seiner Argumentation zu nutzen. Ekelhaft. Wenn wir jemanden hätten, der seinen Job als Opposition ernst nimmt, würde er dafür ordentlich Feuer unter dem Hintern kriegen.
Und dass er die Malware-Installationsfunktion auch noch verteidigt, spätestens dafür muss er mit Rücktrittsforderungen abgestraft werden. Das darf sich ein Innenminister nicht leisten, und der Friedrich ist auch noch Jurist! Das ist völlig unakzeptabel. Wo bleibt der Aufschrei? Der ist untragbar und muss da weg.
Oh und auch die Leutheusser-Schnarrenberger ist mir zu zurückhaltend gerade.
„Wenn eine Überwachungssoftware das Nachladen von Funktionen ermöglicht, kann die Telefonüberwachung zur Online-Durchsuchung mutieren, für die rechtlich ganz andere Maßstäbe gelten“, sagte Frau Leutheusser-Schnarrenberger der Sonntagszeitung.Was heißt hier "kann"?
Update: Hab ich verwechselt, die war Beschwerdeführerin bei der Vorratsdatenspeicherung, nicht beim Bundestrojaner.
"Wir brauchen diese Nachladefunktion, um uns den normalen Updates auf dem Zielcomputer anpassen zu können."Wun-der-bar, Herr Friedrich! Vielen Dank, wir fingen schon fast an, uns Sorgen zu machen, dass es in Arbeit ausarbeiten würde, wenn wir im Falle einer Klage Vorsatz nachweisen müssten. Das hat sich damit ja dann erledigt.
Guter Mann, dieser Friedrich. Fast so ein kompetenter Polit-Profi wie diese Piratenpartei.
Update: Hier ist der FAZ-Artikel, und da ist noch ein Highlight drin:
Der bayerische Innenminister Joachim Herrmann (CSU) sagte dazu der Sonntagszeitung: „Es scheint mir die Frage zu sein: Was versteht man unter nachladbar?“
Nee, klar, Herr Herrmann. Hey, wenn der Clinton damit durchkommt…
And one of those circumstances listed was “requests of law enforcement.”Oh und sie wollen jetzt nach Malware scannen. Wen das irritiert: Verisign wurde von Symantec gekauft. Die wollen so jetzt DIE GANZE WELT MWAHAHAHAHAHA zu ihrem Kunden machen.Update: Verisign zieht den Antrag zurück.
So if VirusTotal shares with everybody, wouldn't somebody trying to keep a backdoor secret be stupid to upload it there?Yes. That's why professional malware authors use black market multi-scanners.
Die BESTEN der BESTEN der BESTEN, SIR!
"Hier werden zum einen Missverständnisse verbreitet und zum anderen vom Chaos Computer Club (CCC) falsche Behauptungen in die Welt gesetzt", sagte Herrmann der Passauer Neuen Presse.Was für eine Frechheit! Bei so einem Vorwurf würde man ja denken, dass er auch etwas konkretes benennen kann, was wir angeblich falsch gemacht haben sollen, aber da haben seine PR-Berater offensichtlich noch nichts gefunden:
Was der Club konkret falsch gemacht habe, sagte der Minister nicht.Na super.
Aber wartet, wird noch besser! Ein Money Quote jagt das nächste!
[Unions-Bundestagsfraktionsvize Günter Krings] warf im Gespräch mit der Neuen Osnabrücker Zeitung dem CCC vor, er habe die Sicherheitsbehörden des Bundes leichtfertig unter Generalverdacht gestellt.Das ist ja großartig! Kann man sich gar nicht ausdenken!
Bisher gebe es keinerlei Belege dafür, dass die analysierte Software tatsächlich illegal eingesetzt worden sei.Ja, stimmt, so gut wie keine. Bis auf dass das Landgericht Landshut das geurteilt hat. Aber hey, solche unwichtigen Randdetails kann man schonmal durcheinanderbringen.
Krings forderte, der Club solle an der Aufklärung mitwirken und sein Wissen einbringen, um das Internet sicherer zu machen. "Das wäre tatsächlich ein Dienst an unserem Gemeinwesen."Sehen wir genau so. Deshalb haben wir ja auch gerade eine tiefe Sicherheitslöcher in infizierte PCs reißende Malware aus dem Verkehr gezogen.
Update: Ooooh, das wird ja immer besser! Das Innenministerium von Bayern hat jetzt auch eine Argumentationslinie dafür, wieso das Landgerichtsurteil nicht zählt:
Das Landgericht Landshut entschied im Januar in einem der fünf Fälle, dass das Aufnehmen von Bildschirmfotos rechtswidrig war. Das Landesinnenministerium hingegen argumentiert, dass die Genehmigung auch Bildschirmfotos umfasst - und verweist darauf, dass es dazu noch keine höchstrichterliche Entscheidung gibt.
Mit anderen Worten: Urteile von Landgerichten zählen nicht.
Update: Ein Jurist weist mich gerade auf folgendes hin:
Die Meinung vom Innenministerium ist schon deswegen Bullshit, weil bei solchen Beschlüssen das LG die höchste Instanz *ist* - darüber gibt's nix mehr.
m(
- Protection of data stream
- Data is AES encrypted
Seht ihr? Das war gar kein Malware-Nachladen-Feature, das war bloß ein Online-Update!1!!
- After installation:
- online update possible
Und die Spezialexperten von den Behörden haben nicht verstanden, dass das das Gleiche ist. Und dieses "AES encrypted", das ist echt legendär.
Diesen Behörden kann man bestimmt auch eine Stromversorgung mit dem Label "Verfügbarkeit: täglich" verkaufen, wo dann eine Minute pro Tag Strom aus der Dose kommt.
Update: Die werben auch explizit damit, dass alle ihre Quellen von unabhängigen Sachverständigen nachprüfbar seien. Ich denke ich spreche für alle von uns, wenn ich sage, dass wir sehen wollen.
Es ist mir eine besondere Freude, heute auf diese Presseerklärung des CCC zu verlinken. Denn dem CCC sind tatsächlich Trojaner zugespielt worden, von denen wir nach eingehender Analyse glauben, dass es sich um "Quellen-TKÜ" handelt. Und die Ergebnisse der Analyse sind ernüchternd.
Von den ganzen Zusagen nach dem Bundestrojaner-Urteil des Verfassungsgericht ist nichts übrig geblieben. Es hieß, der Quellen-TKÜ-Trojaner sei was gaaaaanz anderes als der Bundestrojaner für die "Online-Durchsuchung" und könne gar keine fiesen Dinge tun, nur Skype abhören und so. Tatsächlich aber hat der Trojaner eine Nachladefunktion für beliebige zusätzlich Malware. Es hieß, alle Versionen werden für den speziellen Fall manuell entwickelt, aber in der Realität sind die Trojaner nicht nur sehr ähnlich, sie verwenden auch denselben hartkodierten AES-Schlüssel für die Absicherung der C&C-Verbindung. Und wenn ich AES sage, meine ich AES im ECB-Modus, und es wird nur in eine Richtung verschlüsselt. Und der Schlüssel ist wie gesagt hartkodiert. Die Richtung mit Verschlüsselung ist der Antwortkanal des Trojaners. Der Kanal, über den man zusätzliche Malware nachladen kann, ist gänzlich ungesichert. Integritätsprüfung (digitale Signatur, HMAC o.ä.) oder gar kryptographische Authentisierung gibt es gar nicht.
Oh und Teil des Trojaners ist ein Kernelmodul, allerdings ohne Tarnfunktion (das war wohl zu kompliziert) sondern nur mit Keylogger. Das Kernelmodul stellt Operationen wie "leg mal ne Datei unter diesem Pfad an" oder "schreibe das hier in die Registry" zur Verfügung, und die Keylogger-Funktionalität ist deaktiviert — der Code ist aber noch erreichbar, und dank dilettantischer Anfängerfehler im Rest des Kernelmoduls kann man ihn trotzdem aktivieren und benutzen.
Wenn dieser Trojaner auf einem Rechner installiert ist, steht der danach für jeden offen wie ein Scheunentor, ganz ohne dass man einen Exploit bräuchte. Man muss nur anklopfen und den Trojaner freundlich bitten. Und das Kernelmodul räumt allen lokalen Benutzern Adminrechte an. "Scheunentor" ist zu kurz gegriffen, um das katastrophale Sicherheitsniveau dieser Software zu beschreiben. Die CCC-Reverser dachten erst an einen besonders gewieften Tarnungs-Trick, als sie für AES nur den Verschlüsselungscode fanden und nicht den Entschlüsselungscode.
Der CCC hat für die Scheunentor-API des Trojaners ein GUI geschrieben, das wir mal in einem kurzen Video vorstellen werden. Die Antivirenhersteller haben inzwischen Kopien des Trojaners erhalten und sollten ihn ab morgen früh erkennen und entfernen können, zumal keine Rootkit-übliche Tarnfunktionalität in dem Kernelmodul implementiert war. Aber macht euch keine Sorgen, wir haben den Behörden rechtzeitig Bescheid gegeben, dass sie noch schnell den Selbstzerstörungsknopf drücken können.
Oh, und, ganz wichtig noch, falls ihr ein Andenken haben wollt: die FAZ hat dazu eine Meldung gemacht und wird dem Thema in der FAS-Ausgabe morgen mehrere Seiten widmen. Und zwar, wie ich hörte, inklusive Auszügen aus dem Disassemblat. Wer also die erste Print-Tageszeitung haben will, in der Quellcode von Malware abgedruckt ist, sollte sich morgen eine FAS sichern. Oder halt online lesen, aber das ist ja nicht das gleiche in dem Fall :) Ein Listing-Service in der FAZ, wie damals bei der "DOS International"!
Update: Die Zeit ist auch im Boot.
Update: Erstaunlicherweise ist der C&C-Server immer noch online, und mir erzählt gerade jemand, dass da ein Plesk von 2009 drauf läuft. Die BESTEN der BESTEN der BESTEN, SIR!
Falls sich jetzt jemand wundert, wieso ich die FAZ so plugge: Schirrmacher (Herausgeber) hat einen Leitartikel zum Thema geschrieben, und da hält er das Flammenschwert der Gerechtigkeit in den Händen und kloppt auf genau die richtigen Stellen. Er schreibt nicht nur, dass so ein Trojaner ja grundsätzlich immer alles kann, sondern zeigt auch auf die Nonnenmacher-Geschichte mit den zu Diskreditierungszwecken hinterlegten Kinderpornobildern und spricht in der Kontext von "der neuen Vernichtungsstrategie in der digitalen Welt". Und dann spricht er das Offensichtliche gelassen aus:
In Zeiten einer „Piratenpartei“ kann der Fund des Chaos Computer Clubs die politische Geographie nachhaltig ändern.
So sieht das aus. Ich bin mir sicher, dass da dem politischen Establishment gerade mit Nachdruck der Arsch auf Grundeis geht. Es freut mich sehr, solche Gedankengänge in den etablierten Leitmedien zu lesen. Nicht mehr nur in Verschwörungsblogs wie dem meinen.
Update: Wenn ich schon am erzählen bin, kann ich ja auch noch ein bisschen mehr plaudern. Der eine oder andere wird sich vielleicht gedacht haben, hey, so ein Trojaner, das ist ein komplexes Stück Software, das schaffen die doch bestimmt nicht ohne Plagiieren von Open Source, da ist doch bestimmt noch ne GPL-Verletzung zu haben. Nicht GPL, aber Speex haben wir gefunden, und die Lizenz wurde verletzt. Ich hörte, ein Anwalt sei schon unterwegs.
Update: Das ehemalige Nachrichtenmagazin hat immer noch keine Meldung. Vor zwei drei Stunden ging die dpa-Meldung raus. Nichts. Wow. Da scheint mir die personelle Nähe zu den Geheimdiensten noch ausgeprägter zu sein als bisher angenommen. "Sturmgeschütz der Demokratie", dass ich nicht lache.
Update: Heise, ZDF Heute, Tagesschau, Golem, Gulli aber immer noch nichts bei Spon. Und auf Twitter musste sich ZDF Heute schon anpupen lassen, wieso sie in ihrer Nachtsendung nichts gebracht haben :-)
Update: Jetzt hat auch Spon was, und sie greifen bei den Zitaten in die Vollen, erwähnen sogar explizit den Wirtschaftsspionageaspekt bei der Durchleitung durch die USA. Inzwischen ist die Geschichte auch in Österreich angekommen und sogar sogar in den USA berichten erste Blogs. Oh und sogar die "Bild" war schneller als Spon. Oh und fürs Archiv solltet ihr euch zum Vergleich auch nochmal die BMI-FAQ zum Bundestrojaner durchlesen, mit Statements wie
Die Datenübertragung wird derart verschlüsselt erfolgen, dass der Zugriff Dritter hierauf ausgeschlossen ist und die übermittelten Daten durch hohe Datenschutzstandards geschützt sind.
Update: Jetzt hat das ehemalige Nachrichtenmagazin noch einen richtigen Artikel nachgelegt und damit sogar den Vetter von der Pole Position verdrängt.
Bitcoin hat ja von Anfang an den schlechten Geruch gehabt, ein Verfahren zur Umwandlung von Umweltverschmutzung und Energieverschwendung zu wertlosen Zahlenkolonnen zu sein, aber wenigstens haben die Leute die Energieverschwendung selber bezahlt. Das jetzt wildfremden Internetbenutzern aufzudrücken, das ist ja wohl an Frechheit kaum zu überbieten.
Der Code ist über das Web einbindbar, die Domain ist bitp.it. Websperren bringen hier natürlich nichts, die Skripte kann man sich ja auch kopieren als Webseitenbetreiber. Wenn jedenfalls bei eurem Mobiltelefon oder Laptop vorzeitig der Akku alle ist, nur weil ihr z.B. diesen Symbol-nach-LaTeX benutzt habt, dann wisst ihr ab jetzt, dass es Bitcoin war.
Schlimm genug, wie wir Menschen uns gegenseitig Werbung antun. Jetzt auch noch parasitäre Umweltverschmutzung und Batterieentleerung?! Und die Armleuchter in den Foren debattieren schon, wie sie vermeiden können, von Antivirus-Snakeoil als Malware klassifiziert zu werden. Man kann gar nicht so viel fressen, wie man kotzen möchte. (Danke, Giuliano)
- Do not confirm or deny that any such software has been installed.
- Do not attempt to remove or uninstall any malware software.
Zu "der WebGL-Lücke" habe ich nichts gesagt, weil das keine Lücke ist, sondern eine Idee der Größenordnung "lasst uns im Winter Russland angreifen". Ich versuche das mal kurz zu erklären. Prozessoren haben heutzutage eine MMU drin. Die MMU erlaubt es, Speicherschutz zu implementieren. Das Betriebssystem kann damit z.B. verhindern, dass irgendwelche Prozesse Speicherbereiche anderer Prozesse oder des Betriebssystems selber kaputtmachen.
Hardware hat sowas nicht. Insbesondere haben Grafikkarten sowas nicht. Früher war das nicht so schlimm, weil auf der Grafikkarte kein Code lief, also jedenfalls kein hochgeladener Code, sondern man konnte halt aus ein paar Operationen auswählen, die dann auf der Grafikkarte ausgeführt werden. Heute haben Grafikkarten eigene Programme, die Shader. Die können u.a. auf den Hauptspeicher des PCs zugreifen. Lesend und schreibend.
Mit anderen Worten: wer Shader auf die Grafikkarte hochladen kann, hat Schreibzugriff auf das Betriebssystem.
Das hat sich noch nicht weit genug herumgesprochen, dass die Malware-Toolkits das regulär benutzen. Aber alle, die sich mit der Technologie mal beschäftigt haben, wissen das. Grafikkarten sind da nicht alleine. Jede Hardware am PCI-Bus kann das. Und PC-Card und ExpressCard sind im Wesentlichen auch nur herausgeführte PCI-Busse. Wer also ein Notebook mit solchen Slots hat, der gibt jedem mit physischem Zugriff auf das Gerät auch softwaretechnisch Vollzugriff auf das Gerät, und zwar ohne dass derjenige rumschrauben müsste.
Und dann gibt es natürlich noch schlechte Ideen wie Firewire, was kein PCI-Bus ist, aber wo man über den Stecker trotzdem Schreibzugriff auf den Hauptspeicher im Rechner hat. Das selbe in Grün. Es sah ja eine Weile so aus, als hätte man aus dem Firewire-Debakel gelernt, aber nein, Intels neueste Technologie, Thunderbolt, führt gleich einen ganzen PCI-Express-Bus per Stecker raus aus dem Gehäuse. SUPER!
Aber zurück zu den Grafikkarten. Wenn man das einmal verstanden hat, dass Shader-Zugriff auf Grafikkarten sicherheitstechnisch Game Over ist, verstehen man auch plötzlich diverse andere Dinge als die schlechte Idee, die sie sind. Z.B. … in "virtuellen Maschinen" 3d-Grafik zu machen. Oder … 3d-Grafik über Netz forwarden! Game Over.
Es gibt eine Hoffnung im dem ganzen Jammertal. IOMMU. IOMMU ist eine MMU für I/O-Zugriffe. Damit könnte man also z.B. einschränken, welche Speicherbereiche die Grafikkarte überhaupt sehen kann. AMD hat sowas schon länger, Intel hat kürzlich nachgelegt. Leider … gibt es da auch schon Angriffe drauf.
Solange es hier keine funktionierende und erprobte Schutz-Technologie gibt, muss man alle 3d-Software (und natürlich erst Recht OpenCL/Cuda/Stream-Kram) so betrachten, als habe man ihr gerade Vollzugriff auf das System erteilt. Denn im Wesentlichen hat man das.
Vielleicht versteht jetzt der eine oder andere, wieso man keinesfalls irgendwelchen Webseiten Shader-Zugriff auf seine Grafikhardware geben will.
Update: Hier kommen gerade ein paar Mails von Leuten rein, die es besser/genauer wissen als ich. Die beiden Haupteinwände sind: a) man kann per WebGL nur GLSL hochladen, nicht binäre Shader, und b) die Grafikkarte kann nicht auf den kompletten Speicher im PC zugreifen, sondern nur auf die Bereiche, die der Treiber eingestellt hat. Soweit ich weiß ist das generell beides richtig.
Allerdings sind ja die Treiber nicht Open Source (Ausnahmen bestätigen die Regel; Benutzer der Open Source GL-Treiber unter Linux können hier möglicherweise ruhiger schlafen). Und Kontextwechsel kosten. Und Grafikkartentreibern geht es um Performance, sogar mehr noch als um Korrektheit. Ich bleibe daher bei meiner Einschätzung. Zumindest bis jemand kommt und es mir noch anders erklärt :-)
Kristina Schröder, Bundesfamilienministerin unter Merkel und bekennendes Mitglied der für die Rechristianisierung Europas eintretenden Selbständigen Evangelisch-Lutherischen Kirche (SELK) — eine evangelikale Sekte, der auch die Familie des Zeitungsverlegers Axel Springer angehört --, will nach einem lobenden Bericht der Springer-Zeitung DIE WELT vom 23.04.2011 das rot-grüne Prostitutionsgesetz von 2002 endgültig kippen und stattdessen ein *schärferes Bordell-Gesetz* verabschieden.Wo kämen wir da auch hin, wenn Leute einfach so zum Spaß miteinander Sex haben. Das geht ja mal gar nicht. Sonst wäre das in der Bibel erwähnt!1!!
Update: Diverse Antiviren meckern wohl rum, dass die Site einem Malware unterjubeln will. Tja, Wordpress halt. Ich verstehe ja eh nicht, wieso Leute das einsetzen. Mir ist da nichts aufgefallen, aber mich betrifft sowas ja auch nicht so :-) Den Link habe ich mal rausgenommen. Ich hätte ja von meinen Lesern nicht gedacht, dass sie Browser einsetzen, die für sowas anfällig sind. Fürs Archiv: der Link war http://www.donacarmen.de/?p=476
Soviel zum "Apple is sicher"-Mythos.
Jetzt ist er wieder aufgetaucht, und zwar in einem bulgarischen Irrenhaus. Von allen Horrorvorstellungen, wo man nicht "verschwunden werden will", rangieren osteuropäische Irrenhäuser sicher ganz weit vorne auf der Liste. *grusel*
Spannenderweise soll er erst am 11. Dezember dort platziert worden sein. Womit sich immer noch die Frage stellt, was in der Zwischenzeit passiert. Und, natürlich, wie er da jetzt wieder rauskommt.
Zur Begründung führten die Polizisten an, S. habe sich offensichtlich Malware eingefangen. Der Durchsuchungsbeschluss sprach von Malware-Verbreitung via Facebook und einem "Ermittlungsverfahren gegen Unbekannt wegen des Verdachts auf Ausspähens von Daten, der Datenveränderung u.a." Allerdings, so stellte sich später heraus, fungierte kein Rechner des Durchsuchten als Zombie, über den Straftaten begangen wurden. Und man wollte auch nicht prüfen, ob der Besitzer diese Straftaten selbst beging. Vielmehr hatte das Amtsgericht den Durchsuchungsbeschluss nur deshalb ausgestellt, weil Ermittler den Download einer als JPEG-Bild getarnten Malware auf dessen Rechner registrierten.Jetzt wird man schon wegen Downloads belangt, und der Download selbst war ja nicht mal eine Urheberrechtsverletzung! Und DESHALB dürfen wir Behörden keinesfalls Zugang auf unsere Vorratsdaten geben. Schaut nur, was die schon ohne VDS anrichten! Krasse Scheiße.
Der Typ, dem sie da die Wohnung durchwühlt haben, arbeitet übrigens als Malware-Analyst, d.h. der untersucht beruflich Malware.
Oh, und falls jetzt jemand denkt, hey, bedauerliches Mißverständnis, die Staatsanwaltschaft Osnabrück ist bestimmt nur inkompetent und nicht auch bösartig:
Die Staatsanwaltschaft Osnabrück teilte Telepolis auf Anfrage mit, dass Durchsuchungen bei Unbeteiligten nach §105 StPO zulässig sind.WTF!? Die halten sich auch noch für im Recht! Und zwar, weil, festhalten:
In der Vergangenheit, so der zuständige Richter, hätten Trojaneropfer "Datenträger nicht freiwillig herausgegeben", "oder aber erst nach vorheriger Löschung von Daten (privaten Bildern, privaten Texten, Dateien, bei denen der Zeuge befürchtete, sich der Strafverfolgung auszusetzen, wie z. B. Tauschbörsenprogrammen)".Ja wo kämen wir da auch hin, wenn Bürger den Behörden zur Aufklärung von Sachverhalten nur Zugriff auf die Daten geben wollen, die zur Aufklärung dieses Sachverhaltes auch benötigt werden! Unfassbar. Und solche Leute dürfen in diesem Lande Wohnungen durchsuchen!!
Fürs Archiv: Der Hersteller der Äpp, und was sticht mir da sofort ins Auge: die werben da mit Common Criteria EAL4+ Zertifizierung. Da sieht man mal wieder, wie wertlos diese ganze Zertifizierungsscheiße ist. Reines Snake Oil.
Oh und wo wir gerade bei Hirnriss waren: aus der BSI-FAQ zur Ausweis-App:
Der Windows7-eigene Screenreader fängt beim Vorlesen die Eingaben über die Tastatur direkt ab. Dadurch wird auch die eingegebene PIN im Klartext vorgelesen. Unter JAWS, NVDA und VoiceOver tritt dieses Problem nicht auf.
Update: So eine Autoupdatefunktion einer Ausweis-Äpp wäre ja auch genau die Infrastruktur, die man für die Installation des Bundestrojaners braucht.
I IS In Ad- hoc. Aktion zur Beweitigung Malware( Stuxnet) - SIMATIC PCS 7 / WIN CC Security check UpMeine Quelle versichert, die Grammatikfehler aus dem Original korrekt wiedergegeben zu haben :-)Sehr geehrter Herr (Geschäftsführer),
derzeit ist eine Malware, ein sogennanter Trojaner im Unlauf, der Microsoft Windows Rechner mit WinCC und PCS 7 betrifft.
Es handelt sich dabei um eine Software, die über einen USB-Stick, oder das Netzwerk verbreitet wird und eine Sicherheitslücke in Microsoft Windows nutzt. Betroffen sind Betriebssysteme von XP an aufwärts.
Systeme, bei denen der Zugang über eine USB-Schnittstelle nicht blockiert ist oder die Schutzvorrichtungen wie Firewall und Virenscanner nicht den aktuellen Anforderungen an die IT Security genügen sind potenzielle Ziele des Trojaners.
Sollten Sie sich über den Stand ihrer Anlage in Bezug auf Microsoft Sicherheitupdates und Virenpattern nicht sicher sein, ist es wichtig auf Grund der aktuellen Bedrohung Maßnahmen zu ergreifen.Zur Überprüfung der Systemintegrität Ihrer WinCC Installation bieten wir einen Check Up mit den folgenden Leistungsinhalten hat an:
- Überprüfung von Malware (insbesondere "Stuxnet") auf einem WIN CC System
- Installation von SIMATIC Security Update (Beseitigung der Sicherheitslücken durch Anpassung der Registry und SQL-Sicherheitseinstellungen)
- Update der aktuell erforderlichen Virenpattern (bedarf Kundenzustimmung)
- Installation der aktuellen erforderlichen von Siemens freigegeben Windows Patches(bedarf Kundenzustimmung)
- Dokumentation der Ergebnisse
Für bis zu 4 WinCC PCs in einer Anlage bieten wir diesen Service für eine Pauschale von Eur 1.450,- inklusive Reise- und Nebenkosten an. Bei mehr als 4 PC ist der Aufwand entsprechend zu erweitern.
Im Falle eines Virenbefalls kann die Bereinigung von vernetzten WinCC / PCS 7 Systeme sehr variieren, und wird daher nach Zeit und Aufwand erfolgen.
Optional bieten wir folgende Leistungen nach Aufwand zu den publizierten Servicepreisen oder mit einem separaten Angebot an:
- Installation Virenscanner
- IT-Security Check Up aller Anlagenkomponenten
- Implementierung von präventiven und kontinuierlichen Remote Monitoring & Alarm Services
Weiter Informationen erhalten Sie von unserem international Servicecenter (ISI) Tel.: +49 (180) 1-737373
Mit freundlichen Gruß
Ich bin ja immer wieder schockiert, wie Zulieferer die Stirn haben, für das Aufräumen ihrer Fehler auch noch vom Kunden bezahlt werden zu wollen.
[…] Anforderungen an eine "Sicherheitssoftware" aufgestellt, mit der die Nutzer beim Verdacht auf Urheberrechtsverletzungen ihre Unschuld beweisen können sollen.Na suuuuuper! Eine Beweislastumkehr gibt es auch gleich mit im Sparpaket!
In diesem Fall kommt noch dazu, dass das Siemens-Software ist. Wer schonmal Siemens-Software benutzt hat, und ich zeige da mal diskret auf BS/2000 und SINIX, der wird wissen, wieso das kein gutes Omen ist.
Das ist also alles an sich schon ein furchtbares Wespennest. Und jetzt sehen wir, dass jemand einen Windows-0day genommen hat, um SCADA zu exploiten. Das ist sehr bedenklich, weil Windows-0day heutzutage nicht mehr unter jedem Teppich zu finden sind, sondern da hat jemand echt Geld in die Hand nehmen müssen. Und die Malware ist gezielt und richtet sich gegen SCADA, wo man dem Vernehmen nach nicht groß Exploits braucht, um da Schaden anzurichten. Das ist so die Kulmination der Horrorszenarien, mit denen der Homeland-Security-Cyberwar-Militär-Verbund immer um Kohle bettelt.
Und jetzt guckt euch mal an, wie Siemens in der Praxis Security betreibt:
Once on systems, the malware looks to use default passwords to connect to the database associated with the SCADA systems to obtain files and run various queries to collect information, Symantec noted in an advisory. Still, Siemens has reportedly advised customers not to change their default passwords, arguing it “may impact plant operations.”Das muss man sich mal auf der Zunge zergehen lassen!Oh und auch sehr besorgniserregend ist das Detail, dass die Malware signiert war, und zwar nicht nur wie initial berichtet mit Realtek-Keys, sondern auch mit einem JMicron-Key. Hier bestätigen sich also auch alle unsere Vorurteile bezüglich Fernost-Firmen und gleichzeitig unsere Ansagen, dass Code Signing keinen Sicherheitsgewinn erzeugt.
Das ist sowas von der perfekte Sturm, dass man schon fast vermuten könnte, dass da eine der US-Cyberwar-Abteilungen versehentlich einen Test-Exploit verloren hat, oder dass das ein Technologie-Demonstrator ist, um mehr Funding zu kriegen.
Auf der anderen Seite ist das natürlich ein perfektes Geschäftsmodell für die. Die wissen ja jetzt schon über ihre Kunden, dass die nicht gerade geistige Titanen sind, weil die sich schon Norten SnakeOil 23.0 haben andrehen lassen.
Das unglaublichste für mich ist, dass Heise nicht mit einem Wort erwähnt, dass Symantec so alle Nutzer in Echtzeit beobachten kann. WTF? War da der Chefredakteur gerade pinkeln?
Also, wer nicht sicher ist: prüft mal die Proxy-Einstellungen. Und lernt eure Lektion und setzt nur noch aktuelle Versionen von Browsern ein. Da mich das Teil nicht infiziert hat, kann ich euch auch nicht sagen, wie man es wieder los wird.
Update: Mir haben Leute gemailt, dass die Site, auf die das verlinkt hat, Malware verbreitet. Daher habe ich den Link rausgenommen. Keine Ahnung, ob da was dran ist, mich betrifft sowas im Allgemeinen nicht :) Habt ihr etwa alte Browserversionen im Einsatz?! Anscheinend stellt die Malware im Browser einen Proxy ein, das könnt ihr ja mal gucken, wenn ihr nicht sicher seid, ob ihr betroffen seid.
Update: Mhh, da hab ich glaube ich einige Nicht-Hacker mit verwirrt. Die Terminologie kommt von hier und hier. Bei Botnets hat man gewöhnlich einen fiesen Cracker, der 100.000 PCs kontrolliert, und die Methode, über die er die PCs fernsteuert, heißt C&C-Kanal, für Command and Control, ein Begriff aus dem Militär. Das habe ich auf unsere Situation angewendet, wo ein paar fiese Politiker Tausende von Journalisten fernsteuern.
Update: Die sind auch in den Root-Zertifikaten von OS X, mailt mir gerade jemand.
Update: Und angeblich sind die auch bei Windows im Certificate Store.
Ich habe wie üblich einen Fnord-Rückblick eingereicht, und mit dem erdgeist zusammen einen Rant über die ganzen schlechten APIs, mit denen Programmierer so geschlagen sind. Mal gucken. Die Ehre gebietet natürlich, dass ich nicht meine eigenen Vorträge durchprügele.
Wir haben diverse Vorträge mit echten Neuerungen, etwas weniger Hardware-Hacking als letztes Jahr, dafür diverse Mindfuck-Vorträge, und eine Menge Vorträge zu aktuellen politischen Spannungsfeldern eingereicht bekommen. Das wird sicher nicht einfach werden, da eine gute Auswahl zu treffen. Wer bis heute noch keinen Vortrag eingereicht hat, wird nicht mehr berücksichtigt. Wer bisher einen Platzhalter eingereicht hat, wird aller Wahrscheinlichkeit nach nicht berücksichtigt.
Und, mal unter uns, für das nächste Mal: bei einer Vortragseinreichung müsst ihr an das Auswahlkommittee denken, nicht an den Tagungsband oder was im Fahrplan steht. Wir haben da drei Felder: Abstract, Description und Submission Notes. Abstract und Description kommen in den Fahrplan, aber können nach der Selektion noch mal präzisiert oder verändert werden. Ein tolles Thema ist notwendig, aber nicht hinreichend für einen guten Vortrag. Stellt euch vor, wir haben über einen Vortrag zu entscheiden, in dem jemand, den wir nicht kennen, eine neuartige Malware analysieren will. In solchen Fällen kann der Vortrag supertoll oder kompletter Mist werden. Ja, wir googeln dann der Person hinterher, schauen, ob der vorher schonmal wo gesprochen hat, und ob die Leute zufrieden waren. Aber mal realistisch: bei über 200 Einreichungen an einem Wochenende, da könnt ihr euch ja selber überlegen, wie viel Zeit wir da haben pro Vortrag. Schreibt in die Submission Notes ein paar Details für das Auswahlkommittee, wo ihr euch selbst ein bisschen anpreist. Wo ihr schon Vorträge gehalten habt, wieso ihr qualifiziert seid, warum wir dieses Thema ausgerechnet von euch ins Angebot nehmen sollen. Geht bei der Einreichung davon aus, dass jemand einen gleichlautenden Vortrag zum gleichen Thema eingereicht hat. Ansagen wie "wenn jemand anderes dazu was sagt, dann lasse ich ihm den Vortritt" nehmen wir natürlich auch gerne. Falls ihr das also nur einreicht, damit ein Thema überhaupt Erwähnung findet, und ihr da eigentlich gar keinen Bock drauf habt, dann wollen wir das wissen! Diese Hinweise gelten selbstverständlich genau so für andere Konferenzen.
Oh, und: wir sammeln nach den Congressen Feedback. Wenn ihr schon mal bei uns einen Vortrag gehalten habt, wissen wir das. Wenn ihr beschissenes Feedback gekriegt habt, habt ihr dadurch einen Nachteil. Wenn das Publikum begeistert war, habt ihr bessere Karten.
Update: Hier ist ein vielversprechender Entwurf:
Tja, Leute, so sieht das aus. Das ist die Wahrheit. Unsere Geschäftsprozesse laufen auf Kartenhäusern einer derartig hohen Komplexität, dass der Boden komplett durchrosten kann, und wir merken das erst, wenn ein Gast durch ein paar Stockwerke gefallen ist.
Daher: Profis erkennt man daran, dass sie Komplexität minimieren. Kleine Module, völlige Trennung der Module, minimale (in Anzahl und Größe) Interfaces. Pfuscher erkennt man daran, dass sie Visio starten müssen, um ihr Projekt zu planen.
Und was will Europol mit den Trojanern tun? "High-Tech Verbrechen" bekämpfen.
The five-year action plan will take steps to combat the growth in cyber theft and the machines used to spread spam and other malicious programs.Europol will also Spam bekämpfen, indem es neben die Spammer-Malware auf euren Computern noch Europol-Malware auf eure Computer tut. Das ist wie mit beidseitig benutztem Klopapier: der Vorteil liegt auf der Hand!Tja, da haben wir dann natürlich keine Wahl, wenn die EU das macht, dann müssen wir das auch machen. Und damit die EU das macht, braucht es jetzt diesen Piloten. Europol, das sind eigentlich Zoll-Leute, Drogenfahnder, Menschenschmuggel, sowas machen die. Und suuuuper erfolgreich, wenn man mal von den enormen Rückgängen bei Drogen und Zwangsprostitution rückrechnet. Genau die richtigen Experten, um Trojaner auf den Rechnern der Bürger zu installieren. Und auch so super überwachbar! Rechtsstaat 2.0!
Das eigentliche Problem ist natürlich, dass dann auch Länder mit noch schlechteren und/oder korrupteren Strafverfolgungsbehörden dann bei uns Trojaner installieren dürften. Und es ist eine Frage der Zeit, bis FSB und FBI dann ganz offiziell via Europol leute trojanisieren dürfen. Na dann eröffne ich mal den Wettpool, bis wann das FBI uns via Europol trojanisieren darf. Klaus tippt 6 Monate, ich 12.
Update: Heise hat mehr, u.a. wie man sowas verkauft:
In einer Mitteilung hebt die EU-Kommission die Bedeutung des Plans hervor, indem das Ausmaß der Internetkriminalität drastisch geschildert wird: "In den Mitgliedstaaten der EU werden jeden Tag Tausende von Angriffen auf Informationssysteme verübt. Viren, die den Datendiebstahl von Personalcomputern erleichtern sollen, Spam, Identitätsdiebstahl und Kinderpornografie breiten sich immer mehr aus. Aktuellen Berichten zufolge hat sich die Zahl der im Internet verfügbaren Bilder von sexuell missbrauchten Kindern in den vergangenen fünf Jahren vervierfacht, und bei jeder zweiten Straftat im Internet geht es um die Herstellung, die Verbreitung oder den Verkauf von Kinderpornografie."
BINGO!!! (Danke, Klaus)
Military computers are regularly beset by outside hackers, computer viruses and worms. But defense officials said the most recent attack involved an intrusive piece of malicious software, or "malware," apparently designed specifically to target military networks.
Subject: WettbewerbverstossUnd im Anhang eine schöne Malware.Sehr geehrte Damen und Herren,
wir vertreten die Ebay GmbH mit Sitz in Dreilinden in der
nachfolgend genannten Angelegenheit. Das Vorliegen einer Vollmacht
wird anwaltlich versichert.Genaue Übersicht Ihrer Verkäufe,
Rechnungen, Daten und unsere Zahlungsaufforderung mit der
Mahngebührenauflistung finden Sie im Anhang.Sie bieten unter der Internethandelsplattform Ebay Computerartikel
im Wege des Fernabsatzes an, ohne dabei auf das Verbrauchern
zustehende gesetzliche Widerrufsrecht hinzuweisen, wie bei dem von
Ihnen angebotenen Ebay Artikel mit der Nummer 9462591640015 geschehen.Damit verstossen Sie gegen §312c Abs.1 BGB sowie gegen §1 Abs.1 S.
10 BGB-InfoV und führen unlauteren Wettbewerb nach §3, §4 Abs.1 S.
11 UWG. Unserer Mandantin steht damit ein Unterlassungsanspruch
gemäß §8 Abs.1,Abs. 3 S. 1 UWG zu.Ebenso sind sie nach §9 UWG unserer Mandanten zum Schadensersatz
verpflichtet und damit zur Uebernahme der Kosten unserer
Beauftragung in Höhe der beigefügten Kostennote 950.94 Euro.Die Wiederholungsgefahr kann nach ständiger Rechtsprechung nur
durch Abgabe einer strafbewehrten Unterlassungserklärung beseitigt
werden.Wir fordern Sie daher im Namen unserer Mandantin auf, die
beigefügte Unterlassungserklärung abzugeben. Dafür setzen wir Ihnen
eine Frist bis zum 05.11.2008 - 18:00 Uhr bei uns eingehend.Sollte die Erklärung innerhalb dieser Frist nicht oder nicht im
geforderten Umfang bei uns eingehen, werden wir gerichtliche
Schritte einleiten, durch die zusätzliche Kosten entstehen, die sie
durch Abgabe der Erklärung vermeiden können.Mit freundlichen Grüßen,
Günter Frhr. v. Gravenreuth
Rechtsanwalt · Dipl.-Ing. (FH)Marktstraße 14
Münchener Freiheit
80802 München
Unnötig zu erwähnen, dass weder Ebay noch Gravenreuth was damit zu tun haben.
Der einzige formell unglaubwürdige Teil (neben dem Absender der Mail und den Rechtschreibfehlern) ist, dass Ebay selbst natürlich niemanden abmahnen würde, weil er auf Ebay irgendwas falsch inseriert. Also meine Hoffnung ist ja, dass der Gravenreuth jetzt seine grosse Abmahnkanone auf diese fiesen Spammer richtet. Das wäre ja wohl die endgültige Win-Win-Situation.
Die Kernpunkte, die ich mitgenommen habe:
Die Sachverständigen haben kein gutes Haar an dem Gesetz gelassen. Es war klar: wenn sie das reparieren wollen, wäre das ein Totalschaden-Aktion, wegschmeißen und neumachen. Daher bin ich mir sicher, dass die das Gesetz genau so kaputt durchwinken werden, und dann werden wir wieder nach Karlsruhe gehen müssen. Der Grünen-Typ hat die Sachverständigen auch mit den Worten begrüßt, er sei dankbar, dass sie nach den ganzen letzten Gesetzen, wo ihre Vorschläge sämtlichst verworfen worden seien, immer noch für diese Anhörungen zur Verfügung stünden. So läuft das da ab. So wird bei uns Politik gemacht.
Oh, eine wichtige Sache noch, die mir bisher nicht so klar war. Das Verfassungsgericht hat bei den Tagebuch-Regelungen entschieden, dass strafrechtlich relevante Erkenntnisse grundsätzlich nicht in den Kernbereich der privaten Lebensführung fallen. In Verbindung mit dem "Richterband"-Vorschlag heißt das: die hören weiterhin alles ab, der Richter schneidet dann das Stöhnen während des Koitus und das Schnarchen heraus, und das Geständnis dazwischen wird verwertet. Genau so wird das ablaufen. Oh und natürlich sind keine Mittel vorgesehen, um die Richter zu finanzieren, die das machen sollen, bzw die dann nötigen Dolmetscher.
Die schriftlichen Stellungnahmen gibt es hier als PDF, falls ihr da mal reingucken wollt.
Ein Highlight gab es noch mit Herrn Dr Roggan, der sich die ersten fünf Stunden eher blass, zurückhaltend und wenig kontrovers gab, der aber in den letzten Minuten noch einen echten Knaller brachte, als er meinte, die Daten dürfen man nicht nur nicht an Länder weitergeben, bei denen dem Betroffenen die Todesstrafe drohe, sondern auch nicht an Folterländer wie die USA oder die Türkei. Niemand reagierte entsetzt darauf, ich bin mal gespannt, ob sie das aus dem offiziellen Transkript raus zensieren.
Hier mal ein paar Ziercke-Stilblüten:
Hier kann gar nicht davon die Rede sein, dass das gegen Unbescholtene eingesetzt wird!Völlig klar, wenn der Ziercke jemanden observieren läßt, dann ist das ein Verbrecher! Das hat dann vermutlich die Precog-Abteilung herausgefunden oder so. Ziercke hat sogar den Sprengstofflaster zur WM noch mal zitiert, der ja angeblich aus dem Baltikum kommen und Deutschland per schmutziger Bombe verstrahlen sollte, sich dann aber schnell als komplette Fiktion herausstellte.Verschlüsselung schafft strafverfolgungsfreie Räume!
Es geht nicht um den intelligenten Internetnutzer, sondern um die Netzwerke, da kommt man immer irgendwie rein.
Wer heute VoIP mit Skype macht, kann sich sicher sein, dass das nicht abgehört werden kann. [Ja! Hat er schon wieder gesagt!!]
… welche Hindernisse vorliegen, zum Beispiel Firewall, Antiviren, … [er weiß also genau, dass er da Malware baut]
Wir brauchen verdeckte Einbrüche, damit wir sicher sind, den richtigen Rechner zu erwischen!
Dann wären ja alle Polizeien weltweit Geheimdienste! [auf die Frage nach den nachrichtendienstlichen Befugnissen, die seine Behörde da kriegen soll]
Wir arbeiten im Moment mit Methoden aus der Steinzeit! Es dauert 8 Monate, bis wir einen Server in China öffnen können, und dann finden wir, dass die Daten seit 7 Monaten gelöscht sind!
Gefahr im Verzug braucht man für den Bundestrojaner, weil man ja nur in der Minute zugreifen kann, wo derjenige online ist!
Die Onlinedurchsuchung hat ja mit dem Kernbereichsschutz nichts zu tun. [ach ja?]
[Auf die Frage, ob sie denn mit der Rasterfahndung schon Erfolge hatten] Mit der Rasterfahndung haben wir Verdächtige identifiziert, das sehen wir als großen Erfolg. Was erwarten Sie den, was wir da erreichen können? [Naja, vielleicht etwas mehr als ein Verdacht? Wie wäre es mit einem Täter?]
[Auf die Frage, wozu sie die Online-Durchsuchung brauchen] Bei den Sauerländern haben wir verschlüsselte Dateien gefunden, die haben wir bis heute nicht entschlüsseln können! [Überraschung!!1!]
Kritik [an den neuen Geheimdienstbefugnissen] verhöhnt die Polizei, die in den Ländern mit diesen Befugnissen hunderte von Menschenleben gerettet haben.
[Angesprochen auf den Blödsinn, den sein Abgesandter beim Verfassungsgericht erzählt hat] Das war ein unautorisierte Aussage eines Mitarbeiters!
Ach, ein Highlight noch, von Prof Kutscha. Der hat mir ja sehr gut gefallen, der Mann. Der hat u.a. argumentiert, dass wir die selben Argumente ("unverzichtbar!", "Untergang des Abendlandes droht, wenn wir das nicht kriegen!!1!") schon beim großen Lauschangriff gehört haben, und heute benutzen sie das nur ein paar Mal im Jahr und das ist völlig unwichtig als Maßnahme. Und er hat die mangelnde Definition von "internationalem Terrorismus" sehr anschaulich illustriert, indem er argumentierte, da seien unter anderem Wirtschaftsgüter betroffen (das habe ich ja damals als "Onlinedurchsuchung bei Sachbeschädigung" kritisiert), und daher könne man argumentieren (er zitierte da auch noch ein EU-Gerichtsurteil in die Richtung, dass Streik als Handelshemmnis darstellte), dass von Gewerkschaften ausgerufene Streiks Terrorismus seien und unter dieses Gesetz fielen. Fand ich so toll, dass ich mich bei dem in der Kaffeepause persönlich bedankt habe, dass er das gebracht hat.
Oh, einen habe ich noch. Einer der SPD-Email-Ausdrucker sprach da davon, bei den Sauerländern hätten sie drei Tetrabyte an Daten gefunden (Danke an slowtiger für den schönen Photoshop). Bwahahahaha
Update: Lacher am Rande: es kam die Frage auf, warum wir nicht einfach die Formulierungen des Bayerntrojaner-Gesetzes nehmen, woraufhin sich die Sachverständigen unisono einig waren, dass das auch ganz offensichtlich verfassungswidrig ist.
Übrigens, mein persönlicher Held der Veranstaltung ist der Prof Geiger, der am Anfang ruhig und gesetzt rüberkam, aber immer schön seriös alle Punkte zerlegt hat. Der war mal BND-Präsident, was mich ja doch schockiert hat, weil der der einzige war, der da mit moralisch-ethischen Argumenten gegen das Gesetz kam. Der sprach auch als einziger ein Verwertungsverbot an, das ich ja auch gefordert hatte, für den Fall, dass sie Gefahr im Verzug brüllen und nach drei Tagen der Richter meint, der Einsatz sei illegal. Dafür habe ich ihm auch in der Mittagspause persönlich gedankt, und daraufhin wurde er nach der Mittagspause echt zum Tiger und kam da mit geradezu missionarischen Argumenten ala "Stellen Sie sich mal vor, SIE seien von so einem Gesetz betroffen, was für einen Rechtsschutz genießen Sie denn dann noch?" Erschütternderweise stießen diese Argumente bei den Abgeordneten auf völliges Unverständnis, so meinte der eine CDU-Apparatschik dazu "Sie tun ja geradezu so, als würden wir diese Maßnahmen gegen Unschuldige einsetzen!1!!". Äh, ja, genau das ist die Gefahr, Sie Knalltüte! Also der Geiger hat mir sehr gut gefallen. Wenn ich einen Orden verleihen könnte, er würde ihn kriegen.
Heise hat auch eine Meldung dazu, aber die liest sich fast als wäre der Herr Krempl bei einer anderen Anhörung gewesen :-)
Die Tagesschau findet auch, dass der Konsens war, dass das verfassungskonform war, und zitiert dafür ausgerechnet Prof Gusy, der da länglich argumentierte, dass man Artikel 13 dafür ändern müsse. Und von all den Kritikpunkten zitieren sie einen organisatorischen ("könnte mit den Zuständigkeiten der Bundesanwaltschaft kollidieren") und einen relativ leicht widerlegbaren ("könnte den falschen Computer treffen"). Pfui, Mainstream-Medien, Pfui! Noch schlimmer ist der erste Artikel dazu, wo sie gar keine Bedenken gehört haben (die müssen sich da was in die Ohren gesteckt haben).
Und wenn tagesschau.de wenigstens halbwegs seriös rüberkommt mit ihrer Falschberichterstattung, dann hat der Stern gar keine Hemmungen, dem Volk ins Gesicht zu lügen. Kein einziger der Staatsrechtler hat den Gesetzentwurf als verfassungskonform bewertet! Nicht mal die beiden CDU-Experten (der Heckmann und der Möstl, der schon vom Dialekt her klang als lehre er in Pullach)! Der Möstl hat immerhin für einige Punkte hanebüchene Rechtsauffassungen zu konstruieren versucht, wieso man möglicherweise für diesen Punkt ohne Verfassungsänderung auskommen könnte, bis es dann das Verfassungsgericht wieder einkassiert. Aber nicht mal DER hat sich da hingestellt und den Entwurf als verfassungskonform bezeichnet. Krass.
Kai Raven war auch da und hat seine Notizen geblogt. Seine Einschätzung zu Prof Gusy teile ich übrigens, der kam mir vor wie ein Hacker im Geiste, der auf Fragen, ob $XY verfassungskonform sei, mit bizarrologischen Konstruktionen antwortete, was man kunstvoll wie auslegen müsse, um da eventuell argumentativ in Richtung Verfassungskonformität kommen zu können. Bei mir blieb der Eindruck zurück, dass das alles in seinen Augen nicht verfassungskonform ist und man da größere Verrenkungen machen müsste, um das überhaupt verargumentieren zu können, aber offenbar sahen das die Experten-Reporter vom Stern anders. Bemerkenswert an dem Geiger war, dass er dieses Mal kraftvoll gegen das Richterband argumentierte, indem er am Ende aufzählte, wer bei einem Richterband (womöglich mit Dolmetschern) die eigentlich absolut geschützten intimen Kernbereichsdetails zu Gesicht bekäme.
Nachschlag zur Debian-Sache: ich hatte ja erzählt, dass whitehouse.gov betroffen war. Nun, stellt sich raus, auch Akamai ist betroffen. Akamai, das sagt vielleicht dem einen oder anderen nichts, das ist ein Content Distribution System. Das wird von allen möglichen Sites benutzt, u.a. von ATI für den Treiber-Download, und, besonders pikant, ELSTER zum Formular-Download für die Steuern:
DownloadWas heißt das jetzt konkret? Deren X.509-Zertifikat ist ja public, wurde von deren Webserver ausgeliefert. Inzwischen haben sie den natürlich ersetzt. Aber wer schnell genug war (und jemand war schnell genug und hat mir das gemailt), der hat jetzt ein Zertifikat mit dazugehörigem Private Key von "a248.e.akamai.net".Der Download erfolgt von einem externen Server des Anbieters Akamai "a248.e.akamai.net" der von der Finanzverwaltung für die Bereitstellung der ElsterFormular-Dateien genutzt wird.
Was heißt das? Nun, dieses Zertifikat ist ja signiert. Von einer CA, der die Browser der Welt vertrauen. Ich kann mich jetzt also mit diesem Zertifikat hinstellen und Browsern gegenüber erfolgreich behaupten, ich sei Akamai. Konkret: wenn jemand neben mir auf einer LAN-Party einen ATI-Treiber runterläd, oder sein Steuer-Formular zieht, kann ich mich in die TCP-Verbindung einklinken, und dann ist der SSL-Schutz ausgehebelt.
Um den Schaden von sowas zu minimieren haben SSL-Zertifikate eine Verfallsdauer von einem Jahr (naja, einstellbar, aber üblicherweise ist es ein Jahr). Dieses Akamai-Zertifikat läuft im Oktober aus. Ich habe das Zertifikat lokal geprüft und es funktioniert. Also, mal unter uns: das ist eine echt große Katastrophe. Nicht nur für Akamai. Es gibt auch nichts, was Akamai tun kann. SSL hat für solche Fälle die Idee einer Revocation List, aber das skaliert nicht und daher haben die Browser das alle abgeschaltet oder gar nicht erst implementiert. PKI funktioniert schlicht nicht in der Breite. SSL ist überhaupt ein Kapitel für sich. Habt ihr mal in eurem Browser die Liste der CAs angeschaut, denen euer Browser vertraut? Kennt ihr auch nur bei einer davon nähere Informationen, die Vertrauen rechtfertigen würden? Seht ihr? Ich auch nicht.
Ich möchte noch eine Sache bestonen: Akamai hat sich hier nichts vorzuwerfen. Die haben alles richtig gemacht. Wir bauen unser Kryptographie-Fundament auf Sand, da kann man noch so tolle Best Practices haben und einhalten. Im Übrigen gelten diese Überlegungen auch für alle anderen Varianten, wie jemand an einen Private Key kommen kann, z.B. Einbruchsdiebstahl. Und es gilt analog für alle anderen Public Key Systeme und PKIs im Moment, z.B. bei e-Government und der Gesundheitskarte. Skalierender Schlüsselrückruf ist ein ungelöstes Problem.
Update: Noch ein Nachschlag zu ELSTER. Stellt sich raus, dass die Elster-Leute auch noch ein Cross Site Scripting Problem haben, und man gar nicht SSL spoofen muss, um denen den Bundestrojaner unterzujubeln. Danke an Thomas für den Hinweis.
Update: Alexander Klink hat offenbar auch eine große deutsche Bank mit dem Problem gefunden, und, besonders hart: deren Zertifikat läuft erst in drei Jahren ab.
In the wake of the Debian weak key issue it was revealed that whitehouse.gov had a weak key. It turns out that the Akamai SSL key is also weak. Akamai, in case you never heard of them, is a major content distribution network. They have tens of thousands of servers distributed over the world. If you have a high traffic web site, you can contract with them, and they will host it and redirect visitors to the site closest to them. Their customer list includes Microsoft, the New York Times, and — particularly interesting for this — ATI's driver downloads.
Akamai obviously replaced their keys immediately. BUT. If you were quick enough, you could get their old public key (it is sent as part of the SSL handshake), and since the private key is weak (there are only 32k possible keys), you can generate the private key to it. Someone did (who wishes to remain anonymous) and sent the key to the CCC. I verified it. The key works. The part that has not sunk in yet for most people is: the public key is signed by a CA that browsers trust. I have a public key and a private key. I can now impersonate Akamai. If I can manipulate your TCP connection (which is easy, for example, if you are using Wifi or are on the same LAN with me), I can send you malware instead of the ATI driver.
SSL has two defenses for this. First: keys expire. This particular key expires October 2008. Second: Certificate Revocation Lists. SSL originally had the idea that CAs would publish a list of compromised keys, and as part of the SSL handshake, the browser would check if the key is on the list. The problem is: that does not scale. At all. There are billions of SSL connections being established per second, Verisign can not possibly pay for the traffic to send their list to everyone. So — noone checks the CRLs. This is the main reason why PKI does not work in practice.
One more thing: I'd like to stress that Akamai did nothing wrong here. They did everything right and still have a problem. The same problem occurs if someone gets the private key by some other means, for example breaking and entering. The foundation upon which we build our infrastructure is less stable than most people realize.
Früher äußerte sich der Verein zu Dingen, von denen er nichts verstand einfach nicht. Das ist heute anders. Im Bemühen, im Gespräch zu bleiben spricht man auch gern mal in Mikrofone, wenn es eigentlich nichts zu sagen gibt. Und ein einstündiger Vortrag zum Bundestrojaner beispielsweise trägt in trauriger Wahrhaftigkeit den Untertitel: "Die Wahrheit haben wir auch nicht, aber gute Mythen".Also tut mir leid, das nehme ich jetzt persönlich. Wer soll denn bitte was zum Bundestrojaner zu sagen haben wenn nicht wir? Wir wurden von der Presse plattgetrampelt, weil die alle von uns wissen wollten, wie sie sich davor schützen können. Dass es überhaupt zu einer Debatte gekommen ist, ist unser Verdienst. Ohne uns gäbe es das Wort gar nicht. Und es war ja nun nicht so, dass wir da keine Fakten gehabt hätten. Im Gegenteil. Gut, der Brunnstein fand den Vortrag unstrukturiert und populistisch, und offenbar haben vereinzelt Leute den Eindruck gehabt, wir seien unvorbereitet gewesen und hätten da unstrukturiert gefaselt, aber ich versichere euch: dem war nicht so. Wir haben uns eine halbe Stunde vorher zusammen gesetzt und unser Material strukturiert. :-)
Und ohne dem Herrn Brunnstein zu Nahe treten zu wollen (wir haben auf dem Congress auch noch eine Weile über den Vortrag gesprochen, und da hat er zwar den Populismus-Vorwurf erhoben, aber uns keinesfalls mangelnde Kompetenz unterstellt), folgenden Absatz kann ich nicht unkommentiert stehen lassen:
Beim Thema Bundestrojaner beispielsweise sei der Verein "nicht genügend kompetent", sagt Brunnstein. In einem Vortrag dazu von der Gefahr überwachbarer Hörgeräte oder manipulierbarer Herzschrittmacher zu sprechen, sei doch "Pipifax", das lenke nur vom eigentlichen Problem ab.DOCH. GERADE über Hörgeräte und Herzschrittmacher muss man reden. Die Situation im Moment ist, dass die uns sagen, sie wollen bloß unsere Rechner trojanisieren, aber das Gesetz läßt eben auch Herzschrittmacher offen. Wenn wir jetzt zu dem Gesetz ja sagen, dann dürfen sie in Zukunft eben auch Herzschrittmachen manipulieren, nicht nur Rechner. Und die Aussage der Leute gerade, dass sie das ja nicht "planen" (sie behaupten nicht mal, dass sie es nie tun werden, nur dass sie es nicht planen gerade), das reicht mir nicht. Das ist einer der zentralen Kritikpunkte an dem Gesetz, dass sie sich da Dinge vorbehalten, die sie weder brauchen noch können, noch wären diese Möglichkeiten technisch beherrschbar. Daher gehört das da nicht hin.
Der Brunnstein kommt halt aus der Malware-Analyse-Ecke bei der Uni Hamburg, wo sie Viren-Binaries angucken, und für den ist das eben die Welt. Brunnstein findet, dass wir viel mehr darauf hinweisen müssten, wie schlimm das mit der Sicherheit da draußen ist, als den inkompetenten Staat zu beschießen, der das ja eh nicht sinnvoll umsetzen könnte, was er da plant. (Ich hoffe, ich gebe das jetzt korrekt wieder aus dem Gedächtnis)
Ich finde: der Brunnstein ist herzlich eingeladen, auch mit der Presse zu reden, und denen die Wahrheit aus seiner Sicht zu erzählen. Ich würde das sogar begrüßen. Je mehr Leute da unabhängig gegen den Bundestrojaner argumentieren, desto besser. Aber unsere Prioritäten so wegzuwischen, das finde ich unangemessen. Wir sind da, wo wir jetzt sind, weil wir eben auch mal populistisch mit Problemen umgehen. Das ist ja kein Zufall, das war harte Arbeit, Wege zu finden, wie man ein technisches Problem so formulieren kann, dass die Bevölkerung versteht, dass sie das a) betrifft und b) ein Problem ist. Wir sind hier keine Universität, wir haben mit unseren Kongressen keine so stringenten akademischen Anforderungen. Bei uns geht es vor allem darum, die Inhalte zu transportieren, und das ist uns, wie ich finde, gelungen, auch und vor allem mit dem Bundestrojanervortrag.
Und wenn der Autor des Artikels uns vorwirft, wir würden heute nicht mehr rumhacken, dann kann ich nur auf §202c verweisen, und möchte auch seine Darstellung korrigieren, dass die Hacks früher alle illegal gewesen seien. Im Übrigen machen wir auch heute noch Aufsehen erregende Hacks als Club, ich verweise da nur auf die Fingerabdrucksachen und Magnetkartendinger, die da im letzten Jahr im Fernsehen liefen.
The artificial intelligence of CyberLover's automated chats is good enough that victims have a tough time distinguishing the "bot" from a real potential suitor, PC Tools said. The software can work quickly too, establishing up to 10 relationships in 30 minutes, PC Tools said. It compiles a report on every person it meets complete with name, contact information, and photos."As a tool that can be used by hackers to conduct identity fraud, CyberLover demonstrates an unprecedented level of social engineering," PC Tools senior malware analyst Sergei Shevchenko said in a statement.
Among CyberLover's creepy features is its ability to offer a range of different profiles from "romantic lover" to "sexual predator." It can also lead victims to a "personal" Web site, which could be used to deliver malware, PC Tools said.
BWAHAHAHAHAHA wie geil! Wer hätte gedacht, dass wir den Turing-Test nicht bestehen, indem wir die Roboter intelligenter machen, sondern indem wir uns auf die beklopptesten Idioten unter den Menschen beschränken.
"Das gemeine an moderner Schadsoftware ist, dass die Software on demand für den jeweiligen PC zusammengebaut wird. Keine dieser Malware gleicht einer anderen, sodass die Signaturen niemals stimmen", beschrieb Manske die Methode, mit der möglicherweise auch der "Bundestrojaner" arbeiten wird: Der PC wird mit kleinen Programmen infiziert, die sich erst hinter dem Firewall zum schädlichen Trojaner zusammensetzen.Das ist grotesker Blödsinn. Kein Wunder, dass das BKA so eine Panik schiebt, wenn deren Sachkenntnis sich auf diesem Niveau bewegt.
Immerhin haben sie inzwischen verstanden, dass Antiviren prinzipbedingt nicht funktionieren können. Ich sage das seit den 90er Jahren.
Leute, wer obiges nicht selber erklärend und der expliziten Ansage nicht würdig findet, der soll bitte weg gehen und sich professionelle Hilfe suchen. Ich bin Hacker, keine Nervenheilanstalt.
Erst mal muss man sich auf deren Neusprech kalibrieren. Den Bundestrojaner nennen sie jetzt RFS, "remote forensic software", dabei paßt "Schäuphilis" doch so viel besser. Auch an anderer Stelle soll PR-Neusprech die differenzierte Betrachtung des Sachverhaltes verhindern. So unterscheiden sie zwischen "Quellen-TKÜ" und "Online-Durchsuchung". Quellen-TKÜ ist, wenn sie Skype abschnorcheln. Online-Durchsuchung ist, wenn sie Dateien raustragen. Und, so der Gedanke, wenn man das so schön trennt, dann klingt das gleich gar nicht mehr so bedrohlich, und dann müssen sie auch nicht aufpassen, weil wenn sie den Online-Durchsuchung-Trojaner hochladen, dann ist ja klar, daß das keine Quellen-TKÜ war, für die sie eine andere Art der richterlichen Genehmigung brauchen. Ich hatte so ein bißchen den Eindruck, als hielten sie die Quellen-TKÜ schon nach bisherigen Gesetzen für ausreichend legitimiert.
Ich finde es ja gefährlich, wenn wir argumentieren, daß sie keine Ahnung haben und das total unsicher wird. Das ist zwar die Wahrheit, aber wir wollen ja nicht, daß der Trojaner sicher wird, wir wollen daß er gar nicht kommt. Insofern nahm ich mit Belustigung zur Kenntnis, daß das BMI denkt, sie könnten ihre Malware kryptographisch vor Reverse Engineering schützen:
Diese Analyse der RFS (Disassembling) wird jedoch durch die Verwendung kryptographischer Methoden nahezu unmöglich gemacht.An dieser Stelle hätte man nicht tiefer ins Klo greifen können. Dieser eine Satz reicht, um ihnen sämtliche auch nur in Resten von Fetzen vorhandene Sachkenntnis pauschal abzusprechen. Das ist so grotesk falsch, daß man sich ab dieser Stelle gar nicht mehr inhaltlich mit ihrem Geschreibsel beschäftigen muss, man kann sich auf den Stil beschränken. Und der bietet auch noch genug Angriffsfläche.
So paßt das ja überhaupt nicht mit meinem Bild der Sicherheitsbehörden zusammen, daß sie meine Sicherheit senken anstatt sie zu erhöhen. Daher war eine der Fragen, wie sie denn ihre Spyware gegen Missbrauch durch Dritte sichern wollen. Die Antwort ernüchtert.
Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand.Sie halten sich schlicht für unfehlbar. Sie setzen da auf Designkriterien und die Vorgabe von Sicherheitsstandards durch das BSI. Von Prüfung, womöglich gar durch unabhängige Experten, steht da nichts. Für die Ausschreibung von Tollcollect galten höhere Sicherheitsanforderungen. Für Glückspielautomaten gelten höhere Sicherheitsanforderungen. Hey, für Wahlcomputer gelten höhere Sicherheitsanforderungen, und ihr wißt ja alle, wie katastrophal unsicher die sind.
Und wenn man unfehlbar ist, dann muss man sich auch keine fiesen Fragen gefallen lassen.
Es ist nicht zu erwarten, dass die RFS entdeckt wird.Nee, klar. Un-denk-bar.
Die RFS wird so entwickelt, dass von ihr nach dem aktuellen Stand der Technik keine Schadfunktionen ausgehen.So spricht der Papst, also ist es so. Und überhaupt, was bildet ihr euch eigentlich ein, ihre hinterhältige Spyware als solche zu bezeichnen?!
Mit der Online-Durchsuchung werden keine Personen ausgespäht, sondern relevante Erkenntnisse auf informationstechnischen Systemen erhoben.Wartet, kommt noch besser!
Bei der hier in Rede stehenden RFS handelt es sich nicht um eine "Spionagesoftware", sondern um ein technisches Mittel zur Datenerhebung.Das werde ich ab jetzt auch immer sagen. "Herr Richter, das ist doch kein Hackertool, das ist bloß ein technisches Mittel zur Datenerhebung!"
Und überhaupt halten sich die Behörden nicht nur für unfehlbar, sondern auch für grundsätzlich vollständig vertrauenswürdig. Daher stellt sich auch die Frage gar nicht, wie sie da verhindern wollen, daß auf Tagebücher, Krankheitsberichte oder Liebesbriefe zugegriffen wird:
Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen.Und damit ist klar: da wird auch nie jemand gucken. Aber wartet, sie toppen das noch mit der Aussage, das Tagebuch hätte man ja auch bei einer offenen Durchsuchung finden und sichten können, insofern müsse man das ja bei unserer Spyware auch nicht weiter schützen.
Nun sollte man denken, wenn die so von sich selbst überzeugt sind, daß sie dann die Großartigkeit ihrer Software erkennen und sofort verstehen, wieso z.B. die Chinesen sich ihres Trojaners bedienen sollten. Aber neeeiiinnn, das ist völlig undenkbar. Denn:
Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann. Das Entdeckungsrisiko kann durch technische Maßnahmen reduziert werden.Ich bin mir sicher, das wird sich Sony bei ihrem Rootkit auch gedacht haben. Aber solche Fragen stellen sich nicht, wenn man mit Zauberern zusammen arbeitet. Denn nicht nur ist die Software nicht von außen ansprechbar, das BKA kann sie trotzdem von außen ansprechen:
oder sogar die Beendigung der Maßnahme wegen eines zu hohen Entdeckungsrisikos angezeigt erscheinen lassen, erfolgt die Anweisung an das Programm sich selbst zu deinstallieren.Zauberei!!! Die können mit einer nicht von außen ansprechbaren Software kommunizieren!
Eine andere Sache ist die Beweissicherheit der aus dem Trojanereinsatz gewonnenen Erkenntnisse. Für die Gefahrenabwehr ist das egal, da kann man auch ohne Beweissicherheit Leute willkürlich in den Karzer sperren, das heißt dann "Unterbindungsgewahrsam". Aber bei Straftaten haben wir ja noch so Reste einer Justiz-Simulation stehen, und da will man von Beweisen, daß sie Beweiskraft haben. Bei Hausdurchsuchungen macht man das so, daß man die Festplatte vor Ort versiegelt, einpackt, dann beim BKA vor Zeugen eine Kopie zieht, und dann auf dieser Kopie arbeitet, damit das Original nicht verändert wird. Das ist beim Trojaner alles nicht gegeben, die Umgebung von dem ist dynamisch und unter der Kontrolle anderer. Selbst wenn wir dem Wirt des Bundesparasiten nicht die nötige Sachkenntnis zubilligen, um da Eingriffe durchzunehmen, so könnte auch ein anderer Trojaner auf dem Rechner sein. Es ist dokumentiert, daß sich Botnet-Trojaner gegenseitig vom Rechner schmeißen, um ihre Überlebenschancen zu verbessern. Ich warte ja auf den Tag, wo die Russenmafia-Trojaner den BKA-Herpes entfernen, weil er sie bei der Arbeit behindert. Und dann ist da natürlich noch die Frage des fernsteuernden BKA-Rechners. Das BKA denkt sich, wenn sie da zwei Beamte haben, die sich gegenseitig bezeugen, daß sie nur Gutes getan haben, ist das alles OK, aber auf dem Rechner könnte ja ein Chinesen-Trojaner sein. Wir haben ja gerade gesehen, daß unsere "grundsätzlich über genügenden Sachverstand" verfügenden Behörden mit ein paar lächerlichen Windows-Trojanern überfordert waren. Und jetzt nehmen wir mal an, der Trojaner-Wirt sagt vor Gericht, er habe den Trojaner bemerkt, und ihm absichtlich irreführende Daten gefüttert. Technisch ist das kein Problem, so einen Trojaner z.B. über Rechnervirtualisierung auch im laufenden Betrieb in ein Holodeck einzusperren und ihn komplett zu verarschen. Wenn der Rechner-Eigentümer zu Protokoll gibt, er habe den Trojaner bemerkt und mit ihm gespielt, ist die Beweiskraft sämtlicher Beweise völlig dahin. Das BKA redet sich ein, man könnte sowas ja dann forensisch feststellen. Dem kann ich nur mit lautem Gelächter antworten.
Bluehat bestand aus 5 Vorträgen in einem Saal, und dann einem Haufen Lightning Talks. Die Vorträge haben mich jetzt nicht so vom Hocker gehauen, bis auf den über Hardware-Hacken von Bunnie und Felix Domke. Ich geh mal der Reihe nach durch.
"Your Underground Vulnerability Economy" war von einem hyperaktiven Typ, der da irgendwelche IRC-Kanäle zitiert hat, und da Preise genannt hat, was man angeblich wo kaufen kann, und daß die Leute da mit Datensätzen handeln. Na was für ein Schocker. Von der Seriosität kam der Typ mir ein bißchen wie eine Kreuzung aus Gebrauchtwagenverkäufer und Megachurch-Pfarrer vor.
"Breaking Into Microsoft Security Tools" war ziemlich lahm (und inzwischen habe ich noch ein paar Leute herzhaft über die Vortragenden herziehen hören, was das Bild vervollkommnete). Als Inhalt hatten sie da Windows Defender (Microsofts Antimalware-Produkt), und sie haben da als großen Hack gezeigt, daß man dem ein Signatur-Update geben kann, und der dann seine eigene Engine löscht. Also bei dem Titel hatte ich mindestens Code Execution erwartet.
Der Windows Mobile Vortrag stellte sich als Bluetooth-Vortrag heraus. Die beiden Vortragenden wirkten ein bißchen wie Zeugen Jehovas, mit Dauergrinsen im Konfirmationsanzug. Also nicht unsympathisch, aber irgendwie auch nur bedingt überzeugend. In dem Vortrag hatten sie dann eine Man-in-the-Middle Angriff auf Bluetooth. Ansonsten platzierten sie da die Botschaft, daß sie schon total voll lange mit ihrer Firma am Start sind, also mindestens anderthalb Jahre, und wie toll sie mit den ganzen Vendors zusammenarbeiten würden.
"Death by 1000 Cuts" hab ich erst für einen Scherz gehalten. Es ging da wohl um Browser-Angriffe, aber der Vortrag bestand im wesentlichen aus "künstlerischen" Videoclips, wo irgendwelche Buzzword-Scheiße über den Bildschirm rotierte, so wie man sich einen Flash-Screensaver vorstellen würde, während eine Frauenstimme zusammenhanglos Dinge wie "HTML", "Tags", "Web 2.0" und "AJAX" murmelte, und er erzählte da eine Geschichte, wie jemandem seine Daten geklaut wurden. Ich glaube, dieser Typ hat sich in der Veranstaltung geirrt. Das war eher peinlich.
Bei den Lightning Talks hat das Office Security Team (u.a. David LeBlanc, den man ja von seinen Büchern kennt) ihre Sandbox vorgestellt, mit der sie ihren Code zum Importieren von alten Office-Dokumenten absichern wollen, indem sie ihn mit Dingen wie einem restricted Token und einem separaten Desktop in einem separaten Binary starten. In der Praxis hilft das alles natürlich gar nichts, aber immerhin raucht dann nur der Import-Prozeß ab, nicht das ganze Office. Ein Angreifer kriegt immer noch Code Execution, kann Netzwerk-Kram machen (auch zu localhost) und Kernel-Bugs ausnutzen. Highlight war eine Demo, wo sie nach einigen kaputten Dokumenten auch mal ein Powerpoint-File geöffnet haben, das nicht korrupt war, um zu zeigen, daß das auch geht, und die bestand im Wesentlichen aus diesem großartigen Bild hier. Soll noch mal jemand sagen, Microsoft habe keinen Humor! :-)
Die SINA-Box ist ein VPN-Endpunkt, kein MITM-Werkzeug. Man benutzt es gerade, um sich gegen MITM zu schützen. In das große Lawful Interception Bild paßt die SINA-Box höchstens indirekt rein, wenn die abgehörten Daten damit verschlüsselt zum "Bedarfsträger" (so nennt man das im Fachjargon) geleitet werden. Ich hoffe, Volker fängt sich jetzt keine Klage von Secunet (dem Hersteller der SINA-Box) ein, denn was er da geschrieben hat ist Bockmist.
Der Staat wird auch nicht anfangen, Dateien in vorbei fliegenden Downloads zu ersetzen. Theoretisch ist das denkbar, aber wenn sie das tun, und jemand prüft Checksummen nach, dann ist der Trojanerversuch enttarnt. Daher halte ich das für unwahrscheinlich.
Dann gab es da noch die Theorie, daß sie Windows Update o.ä. mißbrauchen. Auch das halte ich für abwegig, denn eine Firma wie Microsoft hat eh schon damit zu kämpfen, daß Softwarepiraten ihren Updateservice für nicht vertrauenswürdig halten, und die Updates nicht installieren, sich dann Malware einfangen, und am Ende sieht das so aus, als sei Windows mal wieder total trivial zu infizieren, dabei gab es den Patch schon seit Jahren. Daher kann ich mir nicht vorstellen, daß die sich für sowas mißbrauchen lassen. Und per MITM kann man bei solchen Update-Services nur was reißen, wenn die wirklich schlecht implementiert sind, bei MS Update und hoffentlich auch allen Antivirus-Updates sind digitale Signaturen involviert, gerade um MITM-Angriffe abzuwehren.
Die nächste Variante wäre, den Leuten den Trojaner einfach per Spam zu schicken, und dann zu hoffen, daß die Leute da draufklicken. Und die Variante ist die einzige, von der ich mir vorstellen kann, daß unsere Strafverfolgungsbehörden ausreichend Expertise haben, nachdem ihnen jemand anderes einen Trojaner gehackt hat. Ich hatte ja bisher nicht viel mit den Strafverfolgungsbehörden zu tun, aber wenn, dann haben die jedes Mal einen katastrophalen Eindruck hinterlassen. Gut, kann natürlich auch Schauspielerei sein, damit sie unterschätzt werden :-)
Insofern mache ich mir da wenig Sorgen, jemals von einem Bundestrojaner betroffen zu sein. Mein momentaner Eindruck ist, daß da einfach jemand geplappert hat, was sie gerne hätten. Jemand, dessen Sachkenntnis sich aus Hollywood-TV ala "Alias" oder "CSI" speist ("Image-Enhancement aktivieren, fraktale Extrapolation des Gesichts anhand der zwei Pixel auf der Überwachungskamera läuft…"). Jemand, der von Tuten und Blasen keine Ahnung hat, und der gerade dafür gesorgt hat, daß sich mein Eindruck der Strafverfolgungsbehörden noch mal deutlich in Richtung Tiefgeschoss verschiebt. Aber ich kann nicht sagen, daß ich das schlecht finde, wenn die Strafverfolgungsbehörden unfähig sind. Das ist immerhin der beste Schutz, den wir vor "Antiterror"gesetzen und staatlicher Oppression haben.
So hat eine aktuelle Untersuchung von IDC nachgewiesen, dass sich das Sicherheitsrisiko durch den Kauf und die Nutzung von gefälschten Produktschlüsseln, Raubkopien, Schlüssel-Generatoren oder Cracking-Tools deutlich erhöht. Ein Viertel aller Websites, die illegale Software-Versionen oder Produkte anbieten, enthält schädliche oder unerwünschte Software. Sogar 59 Prozent aller Schlüssel-Generatoren und Cracking-Tools in P2P-Netzwerken sowie 11 Prozent in Websites schleusen Malware auf den PC ein. IDC schätzt, dass die Kosten für ein Unternehmen bei 1.000 US-Dollar liegen, um sich von einem einzigen Störfall durch gefährliche Software auf einer Workstation zu erholen. Die Kosten für verloren gegangene oder kompromittierte Daten reichen oft bis zu mehreren 10.000 Dollar pro Vorfall.
"I think the malware industry is making more money than the anti-malware industry," Genes said.SEHR GUT!!! Die Anti-Malware Industrie ist in meinen Augen ein unseriöser Haufen, die das digitale Äquivalent von Überwachungskameras verkaufen — das hilft nicht dabei, Angriffe zu verhindern, oder auch nur die Auswirkungen zu minimieren, sondern man kann damit bloß bekannte Kriminelle/Viren erkennen. Wenn nur die Hälfte der Kohle, die die Volkswirtschaften der Welt für Virenscanner ausgibt, an den Ausgangsstellen (Microsoft, Adobe, …) für Security ausgegeben würde, wären wir viel weiter.Und ich, der ich an genau das tue, fühle mich in meiner Arbeit bestätigt, wenn ich geholfen habe, 0day so selten zu machen, daß die einen derartigen Marktwert haben. Boah wäre das schön, wenn ich pro 0day einen Bonus in obiger Größenordnung bekäme :-)
When you are dealing with rootkits and some advanced spyware programs, the only solution is to rebuild from scratch. In some cases, there really is no way to recover without nuking the systems from orbit