Fragen? Antworten! Siehe auch: Alternativlos
Schritt 1: Krankenhaus fängt sich Ransomware ein.
Schritt 2: Sophos-Saleslurch tönt auf Twitter rum, mit Sophos wäre das nicht passiert.
Schritt 3: CIO von dem Krankenhaus so: Unser Antivirus war von Sophos.
*schenkelklopf* (Danke, Georges)
Prior Art 1: Mit einer "KI" erkennen, welche Teile einer Konfigurationsdatei Keywords und welche variable Werte sind. Dann Konfigurations-Fuzzing!
Prior Art 2: In Echtzeit Konfigurationen unternehmensweit durchrotieren, so dass die Funktionalität bestehen bleibt, aber ständig andere Parameter nötig sind für die Inanspruchnahme von Diensten. So reduziert sich die Angriffsoberfläche automatisiert und man belästigt Exploiter!1!!
Prior Art 3: Auf Mobiltelefonen haben Apps einen serialisierten State, den sie dem System sagen, und anhand dessen sie in genau denselben Zustand wiederhergestellt werden können. So kann man eine App killen und später neustarten, ohne dass für den Benutzer erkennbar ist, dass die App in der Mitte weg war. Das könnte man auch auf Servern machen! Dann in der Mitte des Unternehmens einen Orchestrator haben, der ständig Dienste killt und neu startet mit dem State, vorher meinetwegen dafür sorgt, dass die solange aus dem Load Balancer genommen werden. So verhindert man, dass irgendwo ein Angreifer Schadcode injected hat.
Prior Art 4: Antivirus / Firewall / AI based anomaly detection für den hinterlegten State. Observability. Einmal das ganze Programm!!1!
Prior Art 5: Serviceangebot: Wir fahren Angriffe auf Ihr Unternehmen, aber nicht um Schwachstellen zu finden, sondern damit Ihre "KI" Anomalien zum Trainieren hat!1!!
Hat noch jemand brillante Ideen, bei denen man den Patentanwälten mal in den Pool pinkeln müsste?
Update: Ein paar Kumpels meinen, Prior Art 3 werde jetzt schon so gemacht. Man nenne das "Rejuvination". Einer meinte gar, das sei bei der Mondlandung so gemacht worden.
Update: Aus Prior Art 1 könnte man auch noch eine Firewall und Anomaly Detection "erfinden".
Update: Prior Art 6: Bei der Passwortrücksetzung könnte man einen KI-Chatbot haben, der vorher schon mit dir gechattet hat, und dich dann wiedererkennt anhand früherer Konversationsthemen und -Meinungen. Quasi sowas wie Schrittmustererkennung, nur halt für Textchat!
Prior Art 7: Eine KI benutzt das über dich vorhandene Wissen aus dem Netz, um Kandidaten für die Sicherheitsfrage zu bewerten (abzulehnen) bei der Accountregistrierung.
Prior Art 8: KI-assistierte Partnersuche. Die KI matcht Leute, die online über dieselben Dinge und Leute Hatespeech verbreitet haben.
Wir sind uns ja wohl alle einig, dass die betroffenen Institutionen alle sämtliche verfügbaren Schichten an Bullshit-Schlangenöl ausgerollt hatten. Das ist ja heutzutage eine Compliance-Frage!
Hand aufs Herz. Habt ihr irgendwo (außer hier, natürlich) jemanden darüber nachdenken sehen, ob das vielleicht alles nutzloser Tand ist?
Potsdam demonstriert gerade sehr schön: Nein. Tun sie nicht.
Warum auch. Ist ja nicht deren Geld, was sie da verbrennen.
Wie heißt es so schön? Irrsinn ist, eine fehlschlagende Herangehensweise immer wieder zu probieren, und ein anderes Ergebnis zu erwarten.
In diesem Sinne, Potsdam. Nicht vergessen, den Antivirus zu updaten!1!!
Albanian prosecutors on Wednesday asked for the house arrest of five public employees they blame for not protecting the country from a cyberattack by alleged Iranian hackers.Prosecutors said the five IT officials of the public administration department had failed to check the security of the system and update it with the most recent antivirus software.
Oh, äh, jahaaa! Die haben ... den Antivirus nicht geupdated!!1!Denn der Grund für Ransomware ist ja bekanntlich der nicht geupdatete Antivirus. Klar.
They are accused of “abuse of post,” which can attract a prison sentence of up to seven years.Bin ich ja grundsätzlich ein Freund von, die IT-Beauftragten in die Haftung zu nehmen, wenn unter ihrer Ägide Dinge verkackt wurden. Aber dann doch bitte nicht bloß den kleinen Admin sondern auch seine fünfzehn Chefs, die ihm nicht die Mittel gegeben haben, das ordentlich zu machen.
Ist mir ja ein völliges Rätsel, wieso das jemand einsetzen würde. Das ist wie das Ergebnis von einem Trinkspiel, ob jemand NOCH MEHR Angriffsoberfläche in mein Arbeitsgerät eingebaut kriegt.
A remote code execution vulnerability exists in VS Code 1.71 and earlier versions for malicious notebooks. These notebooks could use command uris to execute arbitrary commands, including potentially dangerous commandsYou had me at "command url".Mit anderen Worten: Das war kein Unfall und kein Hack. Jemand hat dieses Feature für Remote Code Execution eingebaut und jetzt wundern sich alle, dass jemand darüber Remote Code Execution macht.
Ich frage mich ja bei sowas immer, wie häufig und doll eine Organisation eigentlich auf der Weltbühne verkacken muss, bevor die Leute aufhören, denen ihren Scheiß abzukaufen.
Ach komm, Fefe, da machen wir noch schnell ein paar Lagen Schlangenöl drüber, mit cloud-basierter KI zur Anomalieerkennung. Dann berichtet Heise darüber, als sei das normal, sowas zu brauchen. Und dann sind die Leute wieder eingeschläfert und kaufen die nächste Iteration von unserem Scheiß. Und auf dem Weg holen wir noch eine Schuldumkehr raus. Wie, du hattest keinen Antivirus laufen? Na DANN ist das DEINE Schuld!!1!
Verfassungsschutz: China könnte langfristig Cybergefahr Nummer eins werdenAh. Häufiges Missverständnis.
Die Hauptbedrohung für unsere IT-Sicherheit ist nicht China. China ist nicht mal in den Top 5. Hier sind die Hauptbedrohungen für IT-Sicherheit in der EU:
Ach ja, und: Wir haben digitale Souveränität nicht beachtet. Jetzt haben wir nicht mal mehr irgendwas, womit man glaubwürdig drohen könnte.
China. Dass ich nicht lache.
Das Hauptproblem von unserem undichten Dach ist der Regen!!1!
Das Hauptproblem unserer Gasversorgung ist, wenn Leute im Winter Heizen wollen!1!!
Je älter ich werde, desto schockierender wird für mich die himmelschreiende Dummheit der Politik. Es ist fast, als ob die absichtlich immer die langfristig schädlichste Option wählen. Um die Dringlichkeit im Wahlkampf aufrecht zu erhalten vielleicht?
Moshen Dragon's TTPs involve the abuse of legitimate antivirus software belonging to BitDefender, Kaspersky, McAfee, Symantec, and Trend Micro to sideload ShadowPad and Talisman on compromised systems by means of a technique called DLL search order hijacking.Na sowas! Das klingt ja fast so, als würden sogenannte "Antivirus"-Produkte neue Angriffsoberflächen schaffen!!1!Meine Güte, Fefe! Das ist ja furchtbar! Hätte uns nur jemand rechtzeitig gewarnt! (Danke, Norbert)
OK, liebe Leser, passt mal auf.
Computer-Antiviren richten sich gegen denkende Gegner mit Intention. Das ist eine ganz andere Klasse von Bedrohung als eine natürliche Bedrohung. Ein denkender Gegner mit Intention kann deine Abwehr beobachten und studieren und dann eine Umgehung ersinnen. Er kann dabei Umweltbedingungen herbeiführen, die nicht natürlich auftreten würden, z.B. "Platte voll", "RAM belegt", "CPU beschäftigt", kann so dafür sorgen, dass der Callback in deinem Antivirus zu spät oder gar nicht kommt oder eine Race Condition ausgenutzt wird.
In der Natur haben wir es zwar auch mit Evolution zu tun, aber die ist ohne Intention. Die Natur kann grausam wirken, aber sie spielt nichtmal in derselben Liga wie ein menschlicher Gegner. Das auch nur zu vergleichen zeigt von einem völlig disqualifizierenden Unverständnis von Risikobewertungen.
Ein menschlicher Gegner kann widrige Effekte der Natur einspannen. Das Covid-Virus kann keinen Covidioten erzeugen, um unsere Covid-Antwort zu sabotieren. Das mussten wir schon ganz von alleine selber tun.
Neue Angriffe von natürlichen Gegnern sind entweder berechenbar (und damit eigentlich trivial abwehrbar, wenn wir nicht so inkompetent agieren würden) oder haben randomisierte Mutationen (die eigentlich auch trivial abwehrbar sein sollten). Menschliche Angreifer haben das beides und zusätzlich noch gezielte Angriffe, Täuschung und Sabotage.
Einen menschlichen Angreifer kannst du im Wesentlichen nicht sicher abwehren, du kannst seinen Angriff nur so teuer machen, dass er sich nicht lohnt. Aber gegen Fanatiker und Terroristen hilft das nicht zuverlässig. Fragt nur mal israelische Busfahrer oder russische oder amerikanische Soldaten, die mal in Afghanistan stationiert waren.
Wenn du verhindern willst, dass eine Kuh ihre Weide verlässt, machst du einen Elektrozaun und ein Gitter in den Boden bei der Zufahrt. Wenn du verhindern willst, dass ein Mensch deine Weide betritt, musst du strukturell gesichert haben, ein bisschen Zaun reicht dann nicht.
Die Abwehr von intelligenten oder intelligent gesteuerten Angreifern ist nicht mal ansatzweise vergleichbar mit der Abwehr von Tieren oder natürlichen Vorgängen. Wenn wir uns gegen ein Virus wehren wollen, dann haben wir einen asymmetrischen Vorteil. Wir können forschen, das Virus verstehen, verstehen wie es funktioniert, wie es angreift, und einen Impfstoff bauen. Wenn ihr oben aufgepasst habt, fällt euch auf, dass das genau die umgekehrte Asymmetrie ist wie bei einem intelligenten Angreifer, der unsere Abwehr studieren und gezielt umgehen kann.
Wieso würden Google und co eine Chat-App rausschmeißen? Gibt es da nicht Dutzende von?
Parler schreibt sich Zensurfreiheit auf die Fahnen und zieht daher Leute an, die anderswo rausgeflogen sind.
Bei Apple kennt man das ja, dass die sich für die Vorzensur der Inhalte in Apps von Dritten für zuständig halten, die wollen ja auch keine Pornos und Glücksspiel-Apps im Store. Aber Android hatte bisher kein Problem mit Pornos und Glücksspiel in ihrem Store.
Weder Google noch Apple haben Telegram rausgeschmissen, die sich ja auch gezielt an Leute richten, die anderswo rausgeflogen sind.
Wir leben zunehmend in einer Welt, in der uns die Megacorps vor Gefahren "beschützen", die sie häufig selbst verursacht haben. Microsoft gibt euch einen Antivirus, die Verlage schützen euch vor Fake News, die Politik beschützt euch vor "Extremisten", die sozialen Netze beschützen euch vor Hate Speech, Visa beschützt euch vor Wikileaks und Mastercard beschützt euch vor Pornhub. Google und Apple beschützen euch vor bösen Apps.
Und jetzt halt auch: Google und Apple beschützen euch vor Apps, die euch Dinge anzeigen, die Google und Apple für anstößig halten.
Ich frage mich, wie lange das noch dauert, bevor die keine Webbrowser mehr ausliefern, weil man damit zu viele gefährliche Inhalte sehen kann. Wobei, dafür beschützt uns ja die Düsseldorfer DNS-Sperre!1!!
Irgendwie wird die Bedeutung des Wortes Freiheit immer geringer während meiner Lebenszeit. Früher sind Kinder noch zum spielen in den Wald gelaufen. Alleine.
Heute heißt Freiheit, dass du dir aussuchen kannst, für welchen rechten Flügel der CDU du bei der Wahl stimmst.
Ich meine, das ist ja eine legitime Debatte, die man mal führen kann. Wollen wir lieber Freiheit, dann halt auch verbunden mit Risiken? Oder wollen wir lieber gepolsterte Wände an unserer Gummizelle, dafür aber Null Risiko. Essen kommt von Lieferando, Strom kommt aus der Dose, der Müll wird abgeholt, und wohin das Klo abfließt weiß niemand.
Hab ich persönlich ja kein Problem mit, wenn die Leute da draußen lieber in einer Zwangsjacke sediert in der Ecke liegen wollen. Aber nehmt dann nicht das Wort "Freiheit" in den Mund.
Update: Vielleicht fallen mir die Megacorp-Eingriffe gerade besonders stark auf, weil ich Cyberpunk zocke. Da sieht man die Leute zwar nicht sediert in der Zwangsjacke, aber man sieht sie zwischen Müllbergen auf einer Couch sitzen oder in der Gegend herumzucken, eine 3d-Brille tragend, die sie mit unproblematischem Megacorp-Content bespielt, damit ihnen nicht langweilig wird.
Schwere Zeiten für die AV-BrancheDas höre ich gerne, aber an der Stelle sei auch mal gesagt: No thanks to you, Heise! Seit Jahrzehnten schreibt ihr regelmäßig, dass alle sich Schlangenöl installieren sollen. Und jetzt plötzlich:
Sie müssen sich neue Geschäftsfelder und -modelle erarbeiten – und konkurrieren dabei mit innovativen Firmen, die ohne den Klotz "Antivirus" am Bein oft agiler auftreten können.Jetzt ist das plötzlich ein "Klotz"?
Ich meine, versteht mich nicht falsch, ich freue mich ja immer, wenn sich die von mir vertretene Position durchsetzt, aber da hätte ich doch ein bisschen mehr Selbstreflektion erwartet an der Stelle.
Immerhin berichtet ihr ja seit Jahren auch über die nicht abebbende Ransomware-Welle, die ja völlig mysteriös existiert, obwohl alle auf euren Rat Schlangenöl installiert haben. Da hätte man ja schon auf die Idee kommen können, irgendwann auf dem Weg, dass vielleicht die Versprechungen der Schlangenölbranche alle nicht das Papier Wert sind, auf dem ihr die Wieselformulierungen nicht ausgedruckt habt?
Jetzt einfach so zu tun als sei das ja alles eh die ganze Zeit klar gewesen, das finde ich ziemlich unehrlich von euch.
Mich ärgert auch, dass ihr in dem Artikel "der Defender von Microsoft ist gut genug" behauptet. Wenn er das wäre, dann gäbe es keine Ransomware.
Exploiting Bitdefender Antivirus: RCE from any websiteJa gut, deshalb hat man ja auch mehrere Schlangenölschichten übereinander. Damit die sich gegenseitig schützen!!1!
Der aktuelle Test weist auch den Virus nach, nicht Antikörper für den Virus. Einen Antivirustest gibt es wohl jetzt gerade, die Produktion läuft gerade an.
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric serversIch finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Ransomware droht dein Business runterzufahren, wenn du nicht zahlst. Die Cloud auch.
Ransomware basiert darauf, dass du deine Daten da nicht ohne Hilfe rausextrahiert kriegst. Die Cloud auch.
Wieso betrachten wir Ransomware als Erpressung aber Microsofts Windows-7-Supportgebühren für Behörden nicht?
Gut, bei der Cloud kriegst du einen Account Manager. Ich hörte aber, bei Ransomware kümmert sich auch ein Account Manager darum, dass du deine Daten entschlüsselt kriegst. Jetzt wo ich drüber nachdenke... Ich habe noch nichts Negatives über den Kundendienst von Ransomware-Anbietern gehört. Im krassen Gegensatz zu allen anderen Teilnehmern der Softwarebranche.
OK, niemand will Ransomware haben. Die müssen ihren Scheiß unter Vortäuschung falscher Tatsachen unterjubeln.
Genau wie die Antivirusindustrie!
Update: Jetzt kommt hier jemand und argumentiert, aber bei Cloud würde der Kunde ja freiwillig mitmachen.
Genau wie bei Ransomware!
Er ist bei Ransomware nur vorher nicht gut darüber informiert, welche Auswirkungen sein Click haben wird.
Hey, genau wie bei Cloud-Anbietern! :-)
Update: Es soll ja Leute geben, die ihre Daten in die Cloud schieben, um sich vor Ransomware zu schützen!
New hotness: Malware benutzt Antivirus-Prozess, um die Spuren zu verwischen.
Warte mal, war nicht der Existenzgrund für den Antivirus, den Malware-Befall zu verhindern?!
Ey pass auf, ich hab ne Idee. Wenn das Schlangenöl nicht hilft, dann war die Dosis zu klein!!
Erstens: Sie sagen nicht, welche Firmen das sein sollen.
Zweitens: Primärquelle ist eine Klitsche, von der noch niemand jemals gehört hat, die sich für ihre Erkenntnisse auf irgendwelche angeblichen aber nicht konkret benannten Darknet-Sites bezieht, und ihr Blog bei wix.com hostet.
Drittens: Der "Screenshot", den sie da haben, ist zensiert und auch ansonsten völlig nichtssagend.
Ich würde da nichts drauf geben, bis da mehr Substanz kommt. Abgesehen davon sind Schlangenölhersteller natürlich prinzipiell nicht vertrauenswürdig, ob sie jetzt gehackt wurden oder nicht.
In many cases, these security changes meant deep architectural changes were required to third party solutions. And most ecosystem vendors were not incented to invest heavily in their legacy apps. Some of these solutions took the unorthodox approach of modifying data structures and even instructions in the kernel in order to implement their functionality, bypassing APIs and multiprocessor locks that often caused havoc. Antivirus vendors were notorious for using this approach.In my role as the head of Microsoft security, I personally spent many years explaining to antivirus vendors why we would no longer allow them to “patch” kernel instructions and data structures in memory, why this was a security risk, and why they needed to use approved APIs going forward, that we would no longer support their legacy apps with deep hooks in the Windows kernel — the same ones that hackers were using to attack consumer systems. Our “friends”, the antivirus vendors, turned around and sued us, claiming we were blocking their livelihood and abusing our monopoly power! With friends like that, who needs enemies? They just wanted their old solutions to keep working even if that meant reducing the security of our mutual customer — the very thing they were supposed to be improving.
Nur damit ihr das auch mal von jemand anderem als immer nur mir gehört habt.
Neulich erst sah ich einen AV-Hersteller auf einem Podium sagen, die Idee erinnere ihn an "Impfgegner-Argumente".
Nun, die Russen haben neulich die Amis via Antivirus gehackt, und jetzt kommt raus, dass Nordkorea Südkorea über einen Antivirus gehackt hat und so Zugang zu Militärgeheimnissen der USA erlangte.
Teil von diesen Daten war übrigens der Plan Südkoreas, die Führung Nordkoreas schlicht zu meuchelmorden. Denn so macht man das in einem Rechtsstaat, der sich ans Völkerrecht hält. Man ermordet die Führung anderer Staaten!
Wisst ihr, was ich mich ja immer frage? Wieso Nordkorea eigentlich die Atombombe haben will! Die scheinen sich völlig irrational bedroht zu fühlen!1!!
Schenker-Notebooks sind, wie auch diverse andere Notebooks auch, ursprünglich Barebones von Clevo. Die Symptome sind spontane Bluescreens unter Windows in SynTP.sys mit Fehler DRIVER_IRQL_NOT_LESS_OR_EQUAL (gelegentlich auch ein anderer Fehler aber auch in SynTP.sys).
Das passiert im Allgemeinen während hoher Systembelastung, beispielsweise während Videospielen.
Das Internet ist voll von Fehlerbeschreibungen dieser Art, einige wenige (gefühlt die Ausnahme, aber das kann auch an meinem Sample liegen) auch bei anderen Herstellern als Clevo. Lösungen scheint es keine zu geben. Viele Foren schlagen dann so die üblichen hilflosen Verdächtigen vor, GPU-Treiber updaten, Antivirus deinstallieren, Patches einspielen, blablah, das ist alles Bullshit. Also bis auf Antivirus wegmachen jetzt :-)
Das kann man auch nicht auf ein Hardwareproblem schieben, weil das ein völlig eindeutiger Programmierfehler im Treiber ist. Wer sich mit Treiberprogrammierung unter Windows ein bisschen auskennt: Das passiert, wenn ein Treiber in einem kritischen Pfad auf Speicher zugreift, der aus dem Speicherpool mit Paging kommt statt aus dem Non-Paged Pool. Speicher aus dem Paging-Pool kann vom Kernel rausgeswappt werden, und der Zugriff darauf führt dann dazu, dass die Speicherseite nachgeladen werden muss. Unter Linux ist von Kerneltreibern allozierter Speicher grundsätzlich nicht swapbar, unter Windows aus historischen Gründen doch. Nun ist das nicht generell verboten, im Windows-Kernel auf page-baren Speicher zuzugreifen, aber es gibt eben Situationen, in denen es nicht geht. Zum Beispiel wenn man gerade einen Interrupt bearbeitet, oder von jemanden aufgerufen wird, der einen Interrupt bearbeitet. Weil während dieser Operation ein zentraler Mutex im Kernel gehalten wird, würde das Auslösen von Paging zu einem Deadlock führen. Wenn der Kernel das also feststellt, gibt es sofort einen Bluescreen.
Dieser Bug kann auch auftreten, wenn ein Treiber in einer Interrupt-Routine auf völlig ungemappten Speicher zugreift, also einem wilden Zeiger hinterherrennt oder so.
Es gibt, kurz gesagt, keine Entschuldigung für dieses Verhalten. Nein, da ist nicht "das Mainboard zu warm geworden" oder "die Hardware hat ne Macke". Das ist ein Programmierfehler im Treiber. Gut, außer das Mainboard ist so doll zu warm geworden, dass der RAM Mist zurückliefert, aber dann ist auch alles andere zu spät und das würde nicht reproduzierbar im SynTP.sys auftreten.
Weil dieses Problem bei diversen Laptops seit vielen Jahren auftritt, und Synaptics offensichtlich nicht in der Lage ist, einen Treiber ohne diesen Fehler auszuliefern, werde ich in Zukunft vom Erwerb von Laptops mit Synaptics-Touchpad absehen.
Unter Linux ist übrigens alles in Ordnung mit dem Touchpad. Es ist nur der Windows-Treiber von Symaptics, der hier braun ist.
Kann es sein, dass ein Hardware-Problem zu dem speziellen Timing führt, das diesen Bug erst triggert? Ja, theoretisch. Aber ob das jetzt in der Praxis auftritt oder nicht — das ist ein Programmierfehler im Symaptics-Treiber. Schenker kann dafür nichts (außer dass sie Synaptics-Produkte ausliefern). Das einzige, was ich daher an dieser Stelle von Schenker erwarten würde, ist dass sie ab jetzt an ihre Produkte klar ranschreiben, ob da Synaptics-Produkte verbaut wurden oder nicht.
Das Touchpad im Gerätemanager zu deaktivieren hilft übrigens nicht.
Den Treiber manuell zu deinstallieren hilft auch nicht, weil Windows den sofort aus dem Windows Update Repository neu nachinstalliert. Das selbe passiert, wenn man den offiziellen Treiber von der Webseite von Synaptics lädt und zu installieren versucht.
Update: Ein hilfreicher Hinweis kam noch rein: Dass das möglicherweise von einem Filtertreiber ausgelöst wird. Ein Filtertreiber ist ein Treiber, der sich sozusagen zwischen einen anderen Treiber und den Kernel hängt, das kennt man hauptsächlich bei Filesystemen. Bei Clevo-Laptops gibt es aber einen Filtertreiber für Hotkey-Handling. Das ist denkbar, dass der sich vor den Synaptics-Treiber hängt und den kaputtmacht. Zwischen Kernel-Komponenten gibt es keinen Speicherschutz wie zwischen verschiedenen Programmen im Userspace. Wenn der Schuld ist, trifft Synaptics natürlich keine Schuld und ich ziehe meine Kritik zurück. Ich probiere das mal aus, diese Filtertreiber nicht zu laden.
Received: from fsmsg0220.sp.f-secure.com (46.228.130.170)
by ptrace.fefe.de with SMTP; 30 May 2017 23:42:12 -0000
Subject: RE: Urgent
X-Proofpoint-SPF-Result: softfail
X-Proofpoint-SPF-Record: v=spf1 mx a a:spf.protection.outlook.com
a:fsmsg0219.sp.f-secure.com
a:fsmsg0220.sp.f-secure.com ~all
X-Proofpoint-Spam-Details: rule=notspam policy=default score=0 spamscore=0
suspectscore=0
malwarescore=0 phishscore=0 adultscore=0 bulkscore=0 classifier=spam
adjust=0 reason=mlx scancount=1 engine=8.0.1-1703280000
definitions=main-1705300429
You have been picked for a $47M USD confidential business proposal, email
(chaofang@rogers.com) for more details
Die Doppelpackung Schlangenöl! F-Secure verkauft "Antivirus"-Schlangenöl und die setzen anscheinend erfolglos dieses Proofpoint-Schlangenöl für die Spambekämpfung ein. Laut Wikipedia gegründet von einem Schlips von Netscape Communications. Da weiß man, was man hat!
Nach einer halben Stunde kommt dann die Fachkraft der Bahn und erklärt, WLAN bleibe heute aus, weil sich nämlich ein Hacker ins Netz der Bahn eingehackt habe, und daher sei das jetzt deutschlandweit abgeschaltet und sie dürften es auch nicht mehr anschalten.
Was war bestimmt dieser CCC Hannover!1!! Oder nee, warte, DIE RUSSEN!!1! Hat da etwa jemand seinen Antivirus nicht installiert gehabt?!
Update: Ein Einsender berichtet, dass auch bei der Lufthansa das Internet down ist.
Update: Der Zugführer sagt gerade durch, das WLAN sei in diesem Zug defekt, sagt nichts von Hackern oder deutschlandweit.
Update: Nach dem Umstieg in Göttingen hab ich wieder Internet. Und jemand mailte mir aus einem anderen Zug, dass Internet dort ging. Das "deutschlandweit" war also eine Fehlinformation.
Konkret ist da so ein System-Tray-Dingens bei, das auch auf bestimmte Sondertasten mancher Tastaturen reagieren soll, wie die Lautstärke-Regel-Tasten. Das haben die implementiert über einen Hook, und der kriegt dann natürlich alle Tastendrücke rein. Allerdings haben sie aus dem Treiber anscheinend die Debugging-Funktionalität nicht entfernt, und so fallen die Scancodes in einem Logfile im Dateisystem raus, auf das alle User Lesezugriff haben. JA SUPER!
Das sieht jetzt nicht wie böse gemeint aus, aber das finde ich an der Stelle kein relevantes Kriterium. Solcher Code wird von keiner Qualitätssicherung erkannt, und HP merkt jahrelang auch nichts sondern reicht das schlicht durch. Als ob die nicht zuständig wären, nur weil der Treiber von einem Drittanbieter kommt!
Oh und natürlich hat das auch kein Antivirus erkannt. Auch nicht die proaktiven verhaltensbasierten Module, mit denen sich die Hersteller gerade rauszureden versuchen, dass ihre Signaturen wertlos sind. Das ist jetzt keine klassische Malware, aber es ist ein schönes Beispiel, bei dem sich mal jeder Gedanken machen kann, was man von so einer verhaltensbasierten Malware-Erkennung eigentlich für eine Erwartungshaltung hat bzw. realistisch haben kann.
Update: Heise darüber
Meine Vermutung war ja, dass es SChannel ist. Das ist die TLS-Implementation von Microsoft, die sich im Vergleich zu allen anderen TLS-Implementationen auf dem Planeten verdammt gut geschlagen hat bisher. Zu gut, fand ich, und dachte mir, die sind jetzt dann wohl doch mal fällig gewesen.
Aber das war es nicht. Nein. Viel besser. Es war der Microsoft-Antivirus. Stellt sich nämlich raus: Der hat eine Scripting-Sprache, und die hat die selben Bugs, die auch andere Skripting-Sprachen von Microsoft plagen: Type Confusion.
Die Skripting-Sprache ist für Netzwerk-Überwachung. Das ist eigentlich eine gute Idee. Microsoft hat auch sowas ähnliches wie Wireshark im Angebot, und da ist auch fast die gesamte Decoding-Logik mit einer kleinen Mini-Beschreibungssprache erschlagen worden. Ergo hat das Ding so gut wie keine Security-Bugs, während Wireshark der Moloch zwischen Sodom und Gomorrah ist.
Aber ich weiche vom Thema ab. Microsoft hat einen Bug im Antivirus. Genau was ich seit Tagen auf der Heise Show als Szenario an die Wand gemalt habe. Und weil es eben Microsoft und kein gammeliger Schlangenöl-Hersteller ist, gibt es da jetzt keine Nebelbank sondern das wird als das bezeichnet, was ist es: Critical, Remote Code Execution, Wormable.
So und jetzt kann sich ja jeder nochmal selber überlegen, wie wahrscheinlich das ist, dass Microsoft mit ihren Milliarden an Ressourcen, mit ihren fünfstellig vielen Security-Experten, mit ihren monatelangen Testzykeln, dass DIE das nicht hinkriegen, aber die anderen kriegen es hin. Ja nee, klar.
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
G-Data stimmt mir grundsätzlich zu, dass Zahlen zur Wirksamkeit von Antiviren schwierig zu beschaffen sind, weil die im Allgemeinen von den Herstellern kommen und daher nicht als neutral gelten können. Die Zahlen, die eine große Bibliothek an Malware gegen Antiviren werfen, finden häufig hunderte von Viren, die nicht gefunden wurden, und die Antivirenhersteller reden sich dann mit angeblicher Praxisferne der Tests heraus. Ich las neulich von einer Studie, bei der eine Uni alle ihre einkommenden die Malware-Mail-Attachments bei Virustotal hochgeladen hat und auf unter 25% Erkennungsrate kam. Leider finde ich die URL nicht mehr. Vielleicht kann da ja ein Leser helfen. Mein Punkt ist aber unabhängig davon, ob das jetzt 5%, 25% oder 90% Erkennungsrate sind. Es reicht, wenn ein Virus durchkommt. Eine Malware ist nicht wie die Windpocken. Wenn man sie kriegt hat man halt rote Pünktchen im Gesicht und nach ner Woche ist wieder alles OK. Nein. Eine Infektion reicht, um die gesamten Daten zu klauen, die Platte zu verschlüsseln, und an einem DDoS-Botnet teilzunehmen. Die Erkennungsrate ist, solange sie nicht 100% ist, irrelevant. Ich bin immer wieder schockiert, mit welcher Selbstverständlichkeit Leute nach einer Malware-Infektion halt "desinfizieren" klicken in irgendeinem Tool und dann weitermachen, als sei nichts gewesen. Das ist wie wenn jemand in eine Schwimmbecken scheißt, und man fischt den größten Klumpen raus, und dann schwimmen alle weiter. WTF!?
Der nächste Talking Point der AV-Industrie ist (angesichts der miserablen Erkennungsraten in der Praxis), dass man ja nicht mehr rein reaktiv arbeite sondern auch magischen Einhorn-Glitter aus der Cloud habe. Erinnert ihr euch noch an den Aufschrei nach Windows 10, als Microsoft sich das erstmals explizit von euch absegnen ließ, dass sie eure Daten in die Cloud hochladen? Wie jetzt?! Die wollen gerne als Debugginggründen sehen, welche crashenden Programme ich ausführe!? DAS GEHT JA MAL GAR NICHT!!1! Ja was denkt ihr denn, was das ist, was die AV-Industrie mit der Cloud macht? Die werden im Allgemeinen nur die Hashes der Software hochladen, aber das heißt trotzdem, dass die sehen können, wer alles Winzip benutzt, oder dieses eine hochpeinliche aus Japan importierte Hentai-"Dating-Simulator"-Anwendung. Aber DENEN traut ihr?!
Ich sage euch jetzt mal aus meiner Erfahrung, dass die Analyse von einem Stück Software Wochen dauert, besonders wenn die Software gerne nicht analysiert werden möchte. Wenn die AV-Industrie also so tut, als könnte ihre magische Cloud "innerhalb von Sekunden" helfen, dann gibt es nur zwei Möglichkeiten: Entweder sie haben ein paar Wochen gebraucht und tun jetzt nur so, als sei die paar Wochen lang schon niemand infiziert worden. Oder sie haben da irgendwelche Abkürzungen genommen. Überlegt euch mal selbst, wieviel Verzögerung eurer Meinung nach akzeptabel wäre. Dann, wieviel Arbeit das wohl ist, anhand einer Binärdatei Aussagen zu machen. Zumal man solche Aussagen im Allgemeinen in einer VM macht, und Malware im Allgemeinen guckt, ob sie in einer VM läuft und dann die bösen Funktionen weglässt. Eine denkbare Abkürzung wäre also, schon so einen Check als Zeichen für Malware zu deuten. Da sind wir aber nicht mehr in der Branche der seriösen Bedrohungsabwehr, sondern in der Branche der Bachblüten-Auraleser-Homöopathen, das ist hoffentlich jedem klar.
Das ganze Gefasel mit proaktiven Komponenten halte ich auch für eine Nebelkerze. Wenn das funktionieren würde, gäbe es Weihnachten keine wegzuräumende Malware auf dem Familien-PC, und in der Presse wäre nie von Ransomware die Rede gewesen, weil das schlicht niemanden betroffen hätte.
Ja und wie ist es mit dem Exploit-Schutz? Das ist Bullshit. Das erkennt man schon daran, dass Microsoft diese angeblichen Wunderverfahren der AV-Industrie nicht standardmäßig ins System einbaut. Googelt das mal. Microsoft hat hunderttausende von Dollars für gute Exploit-Verhinder-Ideen ausgeschrieben und ausgezahlt. Und wieviele Prämien für gute Ideen findet ihr von der AV-Branche? Na seht ihr.
Überhaupt. Kommen wir mal zu den Standards. Microsoft hat den Prozess etabliert, den gerade alle großen Player kopieren, die SDL. Ich weiß das, weil ich dabei war, als sie das bei sich ausgerollt haben. Microsoft hat, was ich so gehört habe, sechsstellig viele CPU-Kerne, die 24/7 Fuzzing gegen ihre Software-Komponenten fahren, um Lücken zu finden. Microsoft hat ganze Gebäude voller Security-Leute. Ich würde schätzen, dass Microsoft mehr Security-Leute hat, als die typische AV-Bude Mitarbeiter. Microsoft hat geforscht, ob man mit dem Umstieg auf .NET Speicherfehler loswerden kann, ob man vielleicht einen ganzen Kernel in .NET schreiben kann. Sie hatten zu Hochzeiten über 1/4 der Belegschaft Tester. Es gibt periodische Code Audits von internen und externen Experten. Sie betreiben eine eigene Security-Konferenz, um ihre Leute zu schulen, die Bluehat. Aus meiner Sicht stellt sich also die Frage: Wenn DAS die Baseline ist, trotz derer wir immer noch ein Sicherheitsproblem haben, dann müssten ja die AV-Hersteller nicht nur genau so gut sondern deutlich besser sein. Sonst wären sie ja Teil des Problems und nicht Teil der Lösung. Das hätte ich gerne mal von den AV-Leuten dargelegt, wieso sie glauben, sie könnten das besser als Microsoft.
Oh und einen noch, am Rande:
Wenn Daten signiert sind ist klar, von wem die Informationen stammen. Oft ist es schon ein beträchtlicher Sicherheitsgewinn, wenn man weiß, dass die Information von einem bekannten und ergo vertrauenswürdigen Quelle stammen.Das ist natürlich Bullshit. Es sind schon diverse Malware-Teile mit validen Signaturen gefunden worden, und alle alten Versionen mit bekannten Sicherheitslücken sind ja auch noch gültig signiert. Code Signing dient nicht dem Schutz des Kunden sondern dem Schutz von Geschäftsmodellen.
Mir ist außerdem wichtig, dass ihr merkt, wenn ihr hier mit einer bestimmten Haltung an das Thema rangeht, weil ihr selbst schon entschieden habt, und jetzt nur noch die Argumente rauspickt und höher bewertet, die eure getätigte Entscheidung bestätigen. Das ist ein sehr menschliches und normales Verhalten, aber dem Erkenntnisgewinn dient das nicht. Wo kommen denn die Zahlen her, dass angeblich noch niemand über Lücken in Antiviren gehackt wurde? Wenn ihr zu Weihnachten 10 Viren findet — macht ihr dann erstmal eine wochenlange forensische Analyse, wo die herkamen? Nein, macht ihr nicht! Ihr seid froh, wenn die weg sind. Aussagen wie "noch keiner ist über seinen Antivirus gehackt worden" sind unseriös, und Aussagen wie "es sind keine Fälle bekannt" sind irreführend und Nebelkerzen.
Update: Wer übrigens die Früchte von Microsofts Exploits-Schwieriger-Machen haben will, der muss a) immer schön Windows updaten; weg mit Windows 7 und her mit Windows 10, und/oder b) EMET installieren.
Update: Hups, EMET-Link war kaputt.
Update: Ein Einsender weist darauf hin, dass es doch mal einen Fall von einer massenhaftung Malware-Verbreitung via Antivirus-Sicherheitslücke gab.
Update: Ein fieser Wadenbeißer hat sich mal durch die Archive gegraben:
es gibt noch weiteres Argument gegen die Schlangenöl-Branche, das ich glaube ich bei dir noch nicht gelesen habe, wenngleich das eher nicht gegen die Microsoft-Lösung zielt:
Kollateral-Schaden.
Wie oft hatten wir es bitte schon, dass ein Amok laufender Scanner von einem marodierenden Wozu-Testen-AV-Riesen schlicht Windows & co als Virus/Trojaner/Whatever eingestuft hat?
Gucken wir doch mal:
Das passt auch sehr schön dazu, welchen Testaufwand Microsoft im Vergleich betreibt.
Oh und was ist eigentlich mit Virenscannern, die Inhalte aus dem Netz nachladen, die nicht unbedingt... naja, gab es schließlich auch schon:
Soll man daraus schließen, dass die ihr eigenes Gift vmtl selbst gar nicht einsetzen?
Ach ja, ich vergaß, alles bedauerliche Einzelfälle vom Werksstudentenpraktikanten, die natürlich nie, nie, nie wieder passieren. Ungeachtet dessen, dass sie nie hätten passieren dürfen, das wäre eigentlich der Anspruch an diese Software.
So wie auch schon Schlangenöl auch nur in den besten Fällen keine Wirkung hatte.
Ich habe bisher auf diese Art von Linksammlung verzichtet, weil es mir gerade nicht darum geht, mit dem Finger auf einzelne Hersteller zu zeigen. Es gibt da sicher auch Pfusch bei einzelnen Anbietern, das sehe ich auch so, aber mir ist die fundamentale Kritik am Konzept des Antivirus wichtiger. Pfusch in Software gibt es ja leider häufiger.
Update: Ein anderer Einsender kommentiert:
Zum Thema Proaktive Komponente kann ich dir aus unserer Infrastruktur klar sagen: DAS ist das was am Meisten Fehlmeldungen produziert. Ich habe z.B. einen lang vergessenen Texteditor auf einer Netzwerkfreigabe rumliegen. Seit 2007. Und 2016 auf einmal meldet der Antivirus, dass das Ding verseucht ist und sofort desinfiziert werden muss. Ich warte zwei Tage (=zwei Signaturupdates) ab und lass den Ordner wieder scannen. Diesmal: Nix. Oder letzte Woche hat er uns 6 Userworkstations als virenverseucht gemeldet, weil die User Proxy PAC-Scripte im Browser konfiguriert haben. Ja, haben sie weil so unser Internetzugang funkioniert, aber ich frag mich ernsthaft warum der AV nur diese 6 Workstations gemeldet hat und nicht noch die anderen 400 die das AUCH haben. Tags drauf war wieder alles gut. Für mich als Admin ist das keine zusätzliche Sicherheitskomponente sondern nur zusätzliche Arbeit.
Und ich möchte auch zu der Cloud-AV-Sache noch mal klarstellen, wie sehr das Bullshit ist. Der CCC hat vor ein paar Jahren den Staatstrojaner veröffentlicht, ihr erinnert euch wahrscheinlich. Natürlich in einer entschärften Version, die keinen Schaden angerichtet hätte. Diese Version tauchte dann relativ zeitnah in den Cloud-Antivirus-Datenbanken auf. Die nicht entschärfte Version tauchte nicht auf. Nur falls sich da jemand Illusionen gemacht hat.
Update: Ein Biologe kommentiert:
Es gibt ja ein paar hübsche Analogien zwischen Computerviren und deren Verbreitung und der realen Welt. Beim Lesen des G-Data Pamphletes musste ich an einer Stelle herzlich lachen, als sie ihre "über 90% Erkennungsrate" beweihräucherten. Auf die Mikrobiologie übertragen ist das eine log1-Reduktion, also so knapp über Homöopathie und Gesundbeten. Ich arbeite mit Lebensmitteln, da darf man etwas "Debakterisierung" nennen, wenn man im log3-Bereich unterwegs ist. Also wenn 99.9% aller Keime gekillt werden. Pasteurisierung ist bei log5, also 99.999%. Und auch da wird die Milch nach 21 Tagen sauer.
90% ist da auf jeden Fall der Bereich "lohnt den Aufwand nicht". Da ist eine sinvolle Backup-Strategie und eine gewisse Routine im Rechner-wiederaufsetzen sinnvoller eingesetzt.
Update: Viele meiner Leser scheinen eine Statistik-Schwäche zu haben, und kommen mir hier mit Analogien wie "Kondome schützen ja auch nicht 100%" oder "im Flugzeugbau hat man auch nicht 100% als Anforderung". Vergegenwärtigt euch mal, wie viele Viren es gibt, und wie viele Malware-Angriffe pro Tag es auf typische Systeme gibt. Und dann rechnet euch mal aus, bei einer Erkennungsrate von 90%, oder sagen wir 99%, oder sogar 99.9%, wie viele Stunden es dauert, bis der Rechner infiziert ist. Ich habe in Köln und Hamburg das Publikum gefragt, wer schonmal Weihnachten einen Familien-PC säubern musste. Fast alle. Dann, bei wie vielen ein Antivirus drauf war. Jeweils einer weniger. EINER weniger. ALLE ANDEREN haben trotz Antiviren Malware eingefahren. Wir reden hier nicht von "ich habe dreimal pro Tag mit Kondom Sex und habe nie HIV gekriegt", sondern von über einer HIV-Infektion pro Tag. Und da, behaupte ich mal, wären auch die Nicht-Statistiker unter euch plötzlich mit der Kondom-Performance unzufrieden. Was ihr gerade am eigenen Leibe erlebt, das nennt man Rationalisierung. Ihr habt eine Entscheidung getroffen, nämlich einen Antivirus einzusetzen, und greift jetzt unterbewusst nach Strohhalmen, um das irgendwie zu rechtfertigen. Ich meine das gar nicht böse. So funktionieren Menschen. Euch kommt zugute, dass die meisten Viren bisher wenig kaputtgemacht haben. Vielleicht ein paar erotische Selfies exfiltriert, wenn es hochkommt an einem Botnet teilgenommen. Erst jetzt mit Ransomware werden Viren auch gefühlt richtig gefährlich. Ihr solltet nicht warten, bis euch das am eigenen Leib passiert.
Aber die geradezu mechanische Verlässlichkeit, dass die Leute bei anderen grundsätzlich annehmen, dass sie weniger Ahnung als sie selber haben, das empfinde ich als sehr belustigend.
Beim Frühstücksgespräch fiel heute noch auf, dass ein möglicherweise zentraler Punkt der Malware-Debatte die Annahme ist, dass die Antiviren ja möglicherweise doch helfen. Aber was ist denn dafür die Datenbasis? Die Angaben der Antiviren selbst! Und die melden, das wird ja inzwischen wohl jedem aufgefallen sein, jeden Tracking-Cookie und jeden Portscan als Angriff. Die haben ein wirtschaftliches Interesse daran, ihre Effektivität möglichst aufzubauschen.
Und wenn der Antivirus in der Mail 10 Malware-Attachments findet, unter Spam-Mails, auf die eh niemand geklickt hätte, dann muss man da auch mal einen Schritt zurück treten und das mit ein bisschen Abstand betrachten, ob hier tatsächlich ein Nutzen vorliegt.
Im Übrigen gibt es da noch einen Aspekt, der nicht direkt Kern der Antivirus-Debatte ist, aber der schon reinspielt: Menschen möchten gerne Verantwortung loswerden. In Firmen habe ich schon ein paar Mal erlebt, dass Kunden schlechte Laune bekamen, wenn ich in einem Report Risiken ansprach, von denen sie zwar wussten, aber die sie selbst einfach nicht ansprachen. Die hatten dann die Hoffnung, dass sie im Zweifelsfall sagen können, sie seien nie über die Risiken informiert worden. Menschen möchten sich gerne für kritische Situationen eine Hintertür offenhalten. Und für den Fall "mein PC diente den Russen als Spionagewerkzeug gegen unsere Firma" ist die Installation eines (unwirksamen) Antivirus eben eine nahezu ideale Hintertür. Vergleichsweise billig (schaut euch mal an, was große Firmen für IDS/IPS und SIEM ausgeben!), und es musste noch nie einer in den Knast, weil er trotz Antivirus einen Virus eingefangen hatte. Dem gegenüber steht, dass einem vor Gericht durchaus negativ ausgelegt werden wird, wenn man keinen oder einen nicht aktuellen Antivirus installiert hatte. Die Wahl ist offensichtlich!
Es kommt auch vor, dass Mitarbeiter in Firmen Schulungen verweigern, die ihnen sicheren Umgang mit dem Rechner beibringen wollen, weil sie fürchten, dann in die Haftung zu kommen. Denen erscheint es als bessere Alternative, als ignorant und lernresistent zu erscheinen.
Und ein weiterer Aspekt, der da auch reinspielt: Wenn ich eine Schutzsoftware habe, selbst wenn deren Nutzen nur eine Halluzination ist, dann kann ich doch viel stressärmer auf Pornoseiten und Tauschbörsen herumklicken, und alle E-Mail-Anhänge öffnen! Und wenn ich mir dann eine Malware einfange, dann bin ich nicht Schuld! Klar bin ich dann wie Wally bei Dilbert, aber damit können viele Leute offenbar hervorragend leben.
Update: Nehmen wir mal an, 50 Viren gehen auf meinen PC los. Szenario 1: Ich habe keinen Antivirus und 10 kommen durch. Einer mailt meine Daten nach Russland, einer löscht mir die Platte. Einer löscht die gelöschte Platte nochmal. Szenario 2: Ich habe einen Antivirus und 2 kommen durch. Einer mailt meine Daten nach Russland, einer löscht mir die Platte. Mir erschließt sich ja nicht, wie irgendjemand Szenario 2 besser finden kann als Szenario 1. Ein durchgekommener Virus reicht doch für einen Totalschaden! Kann ich nicht nachvollziehen, die Denke.
Mein IoT-Vortrag schien ganz gut anzukommen, aber das Podium war zu lahm. Heise hatte kurzfristig ein Podium zur Frage "Sind Antiviren Schlangenöl?" eingeplant, nachdem ich da im Blog einen kleineren Schlagabtausch mit Heise Security hatte. Ich war ja erstmal überrascht, dass Heise Events es geschafft hat, für alle fünf Termine jemanden von der AV-Industrie zu finden, der sich da hinsetzt und das debattieren will. Die haben ja im Wesentlichen nichts zu gewinnen in einer Diskussion zu der Fragestellung. Aber sie haben es geschafft, und Hut ab vor den Leuten, die das jetzt machen.
Heute war das Ralf Benzmüller von G Data.
Weil das recht kurzfristig noch ins Programm gehievt wurde, und wir dann an dem Tag noch am Programm herumgeschoben haben, damit das nicht nur 30 Minuten sind wie ursprünglich eingeplant, und wir vorher auch keine Gelegenheit hatten, mal einen roten Faden zu klären, lief das Podium dann ein bisschen unrund, wie ich fand. Erstmal hat Heise vorher und nachher gefragt, wer meine These unterstützen würde, und wer die Gegenthese unterstützen würde, und ich konnte grob niemanden auf meine Seite ziehen, fing auch mit der klaren Minderheitsposition an. Das erwähne ich nur, um euch zu sagen, dass mich das nicht stört. Ich mache das nicht, "um zu gewinnen" oder so. Mich stört aber, dass wir teilweise aneinander vorbei geredet haben.
Ich habe extra versucht, da die technischen Details rauszuhalten, und auf einer ganz fundamentalen Ebene zu argumentieren.
Ich habe u.a. argumentiert, dass ein Virenscanner ja PDF-Dateien scannt, auch wenn ich gar keinen PDF-Viewer installiert habe. Dann wäre ich also ohne Antivirus sicher vor Angriffen via PDF gewesen, und erst durch den Antivirus kommt ein PDF-Parser ins Spiel, der wie jeder Parser-Code potentiell angreifbar ist. Ralf dachte, ich meinte, dass der mit den selben Exploits wie Acrobat angegriffen würde, und versuchte dann auszuführen, dass ein Antivirus ja die PDF-Datei gar nicht wirklich ausführt, sondern nach Heap Spraying und NOP Sleds sucht. Nicht nur verteidigte er damit einen Punkt, den ich nie kritisiert habe; im Publikum verstand das dann auch noch jemand so, als habe er eingeräumt, dass sie da nur oberflächlich ein bisschen draufschauen und das also gar nicht wirklich absichern.
Diese Art von Detail-Kleinkram wollte ich gerade vermeiden in der Debatte, denn da verliert man sich in irgendwelchen für die Diskussion und das Publikum unwichtigen Dingen.
Meine Aussage ist ja, kurz zusammengefasst, folgende:
In meinem rationalen Universum ist mit diesen beiden Punkten alles gesagt. Funktioniert nicht und verursacht Folgeprobleme? Will man nicht!
Und für den Fall, dass die "ist ja bloß ein Grundschutz"-Ausflucht kommt, vielleicht noch garniert mit "100% Sicherheit gibt es gar nicht", hatte ich mir überlegt, wie das wäre, wenn man eine Putzkraft einstellt, und die hinterlässt dann in der Küche einen großen Schmutzfleck, und argumentiert dann: Ist ja nur eine Grundreinigung, der Flur ist aber voll sauber jetzt!
Wieso würde man bei einer Putzkraft höhere Standards anlegen als bei einem Antivirus? Erschließt sich mir nicht.
Aber es stellt sich raus, und das muss ich völlig emotionslos hinnehmen, dass die Leute da draußen wissen, dass Antiviren nichts bringen, potentiell die Dinge schlimmer machen, Geld kosten, und die Werbeversprechen der Hersteller zum Gutteil falsch sind — und das trotzdem für einen nicht nur akzeptablen sondern notwendigen Deal hält.
Ich vermute, dass es da einen bisher unerkannten psychologischen Hintergrund gibt. Meine Vermutung ist, dass das unser Ablassschein dafür ist, dass wir lauter Software einsetzen, der wir nicht vertrauen, und von der wir aus Erfahrung wissen, dass sie unsicher ist. Wir setzen die trotzdem ein, uns müssen diesen offensichtlichen Fehler irgendwie wegrationalisieren. Dafür kaufen wir uns beim Schlangenöllieferanten einen Ablassschein. Dem können wir zwar auch nicht vertrauen, aber das war ja auch nicht der Punkt an der Sache. Den Antivirus kauft man nicht, damit er einen absichert, sondern damit man sagen kann, man habe aber einen Antivirus gehabt.
Ich frage mich, ob man da nicht viel Aufwand sparen kann, und den Leuten das Geld abnimmt, aber ohne einen Antivirus zu liefern. Sankt Fefes Schlangenöl-Ablassbrief. Du setzt Internet Explorer ein? Sag drei Ave Maria und kaufe vier Sankt Fefe Schlangenöl-Ablasszertifikate!
Als Gegenleistung könnte man so richtig schöne Zertifikate drucken. Auf gutem Papier, ihr wisst schon. Wasserzeichen, Prägung, vielleicht noch ein Wachssiegel.
Sollte ich mal vorbereiten und bei solchen Gelegenheiten verkaufen. Aufschrift: Dem Eigentümer dieses Zertifikates wird verziehen, dass er immer noch Firefox einsetzt, obwohl er wusste, was da mit jedem einzelnen Release für unfassbar furchtbare Sicherheitslücken zugemacht werden müssen, und dass es keinen Grund für die Annahme gibt, dass diese Reihe nicht so weitergehen wird. Gezeichnet: Kardinal Rieger.
Auf der anderen Seite kann es natürlich sein, dass so ein Podium gar nicht funktionieren kann, denn es war ja gar nicht mein Ziel, da irgendeinen bestimmten Hersteller rauszuziehen und schlecht zu machen, schon gar nicht den, der sich neben mir aufs Podium getraut hat. Es ist auch nicht mein Ziel, dazu aufzurufen, dass die Leute alle ihre Antiviren deinstallieren. Wir sind hier alle Erwachsene. Wer auf selbstzugefügte Schmerzen steht, dem werde ich da keine Vorschriften zu machen versuchen. Und häufig haben gerade Firmen sowas ja auch aus Compliance-Gründen oder weil sonst die Versicherung im Schadensfall nicht zahlt.
Naja, und so kam am Ende völlig überraschend raus, dass die Fakten völlig unstrittig sind. Wir legen sie bloß fundamental verschieden aus.
Update: Der Vollständigkeit halber: 100% Sicherheit gibt es natürlich doch. Jemand, der keine PDF-Software installiert hat, ist 100% sicher vor PDF-Exploits. Bis er einen Antivirus installiert. Dann nicht mehr.
Update: Ich werde häufig gefragt, was denn mein Vorschlag gegen Malware ist. Hier ist meine Antwort.
Die Malware-Problematik besteht aus zwei zu trennenden Hälften. Erstens Malware, die unter Ausnutzung von Sicherheitslücken auf das System kommt. Zweitens Malware, die völlig legitim auf das System kommt, beispielsweise in einer E-Mail, und die dann vom Benutzer ausgeführt wird.
Die erste Kategorie von Malware kriegt man weg, indem man Softwarehersteller für Schäden in Haftung nimmt, die aus ihren Sicherheitslücken resultieren. Die zweite Kategorie von Malware kriegt man weg, indem man das Modell von Mobiltelefonen übernimmt. Anwendungen laufen nicht mehr in einem großen Universum gleichberechtigt nebeneinander und haben alle vollen Zugriff auf alle Ressourcen, auf die der User Zugriff hat, sondern Anwendungen laufen jeweils in einer Sandbox mit minimalen Rechten, und wenn sie eine Datei öffnen wollen, können sie nur das System bitten, einen "Datei öffnen"-Dialog anzuzeigen. Dateien einfach so mit Dateinamen öffnen oder ohne Rückfrage geht nicht. So ein Modell hat Microsoft mit ihrem App Store zu etablieren versucht, und der Markt hat sie ausgelacht und das nicht haben wollen. Dafür installieren wir uns dann einen Antivirus drüber. Um unser schlechtes Gewissen zu beruhigen.
Update: Hier kommt der Einwand, dass das ja noch dauert, bis wir Produkthaftung kriegen. Das ist also jetzt keine akute Lösung!1!! Ja, und? Gegen 0days zu helfen sagen ja auch Antiviren nicht zu. Und wenn es kein 0day ist, muss man halt immer schön alles gepatcht halten. Dann kann einem die auf Sicherheitslücken basierende Malware auch nichts. Für mich ist das der Gipfel der Unverantwortlichkeit, wenn Konzerne sich ganze Abteilungen mit Bremsklötzen leisten, die dann vorgeblich Patches "prüfen", ob die wirklich ausgerollt werden müssen oder nicht. Und in der Praxis führen die nur dazu, dass steinalte Exploits in dem Laden noch funktionieren. Aber hey, dafür haben wir ja Antiviren installiert!1!!
Und nicht auf Sicherheitslücken basierende Malware kriegt man im Firmenumfeld dadurch weg, dass man den Leuten keinen lokalen Adminzugang gibt und sie nur Programme von der Whitelist ausführen lässt. Ich glaube ja, dass das mit der Tooldiskussion neulich hier im Blog Hand in Hand geht. Firmen tolerieren ein geradezu groteskes Maß an Unwissen und Lernverweigerung. Und die Mitarbeiter nehmen das dankend an, weil sie dann die Unschuld vom Lande geben können. "Ja aber ich hab doch bloß auf das Bild geklickt und die drei Warnfenster sofort ungelesen zugemacht!1!!"
Kurzzusammenfassung: Alles umgehbar, und die AV-Hersteller versuchen das jetzt mit den üblichen "haben wir schon gefixt" kleinzureden. Als ob das irgendwas besser macht! Man stelle sich mal vor, euer Haustürschloss würde auf Zuruf auch ohne Schlüssel aufgehen, und der Hersteller würde sagen: Haben wir gefixt. Würdet ihr euch da besser fühlen? Nein, natürlich nicht! Sicherheitssoftware heißt, dass sie sicher macht. Wenn man updaten muss, hat sie nicht sicher gemacht. Ganz einfache Logik. Hallo McFly? Jemand zuhause?
Oh und noch eine peinliche Frage, die bei solchen Gelegenheiten irgendwie nie jemand stellt: Gab es das Update kostenlos für alle unsicheren Versionen vorher? Laut der Gesetzeslage in Deutschland müsste ein Antivirus mit einem Bug kostenlos vom Hersteller repariert werden. Aber irgendwie hat sich etabliert, dass man die für Reparaturen von Fehlern, für die nur sie was können, auch noch bezahlen soll. Wieso findet da eigentlich niemand was bei? Was für eine bodenlose Frechheit ist das eigentlich?
Wären wir doch nur alle von vorneherein ehrlich gewesen und hätten das als das bezeichnet, was es ist. Schlangenöl.
Eine unzureichende Absicherung bei der Lizenzprüfung von Eset Endpoint Antivirus für macOS ermöglichte es einem Angreifer, beliebigen Code mit Root-Rechten auszuführen.Bei der Lizenzprüfung! Remote Code Execution! Mit Root-Rechten! *TILT* *TILT* *TILT* *Konfetti+Luftballons*
Aber wie sich rausstellt: Stimmt nicht. Ich frage mich langsam, was passieren muss, damit Jürgen Schmidt aufhört, Antiviren als notwendig zu verkaufen. Das ist ja eine Sache, wenn er mir nicht glaubt, der ich in meiner beruflichen Laufbahn den Quellcode von einigen Schlangenöl-Implementationen gesehen habe, aber da aus NDA-Gründen keine Details veröffentlichen kann. Aber wenn dieser Firefox-Mitarbeiter aus dem Nähkästchen erzählt, da kann man ja wohl kaum "ach das denkt der sich doch bloß aus" zurechtrationalisieren?!
Also, lieber Jürgen. Sag mir doch mal. Was müsste passieren, damit du deine Position revidierst?
Müsste deine Mutter Ransomware über eine Schwachstelle in einem Antivirus installiert kriegen?
Ich meine das völlig ernst. Was müsste passieren?
Denn mir geht langsam die Fantasie aus, was für Szenarien da noch möglich wären, um die seit Jahren naheliegende Schlussfolgerung zu widerlegen, dass dieses Antivirus-Fanboy-Schreibertum bei Heise letztendlich Dogma ist. Religiöse Verblendung.
Wieso verkauft Heise eigentlich keine Antiviren? Bisschen Kickback der Hersteller einfangen? Tolles Geschäftsmodell! Von der Berichterstattung her könnte Heise ja kaum noch tiefer mit den AV-Herstellern unter eine gemeinsame Bettdecke rutschen.
Egal, wie viele Bugs es gibt. Bugs passieren halt. Installieren Sie den neuen Patch, dann sind Sie wieder sicher!1!!
Update: Ein Einsender meint, dass Heise einmal im Jahre der c't eine "desinfec't"-DVD beilegt, das sei ja auch sowas wie ein Verkauf von Antiviren. Kann man bestimmt so sehen, ja. Zumindest ist es ein Anfixen :-)
Update: Ohne da ins Detail gehen zu können, schließe ich mich übrigens der Einschätzung an, dass das Schlangenöl von Microsoft noch am wenigsten neue Angriffsoberfläche aufreißt. Ich hatte die Details schonmal grob dargelegt.
Update: Ich habe eine Mail von Jürgen Schmidt gekriegt. Er weist meine Kritik von sich und findet, dass seine Berichterstattung sogar aktiv für das Hinterfragen der Position steht, dass AV-Software wichtig und nötig ist. Das würde ich auch gerne so sehen, und es stimmt auch, dass er häufiger negative Meldung zu Schlangenöl bringt, aber tut mir leid, das hat ihm auch niemand vorgeworfen, dass er negative Meldungen zu AV-Software unterdrückt. Was mich an dem vorliegenden Artikel am meisten geärgert hat, war dieser Satz:
Nun lässt sich das nur allzu leicht als Unsinn abtun – etwa indem man auf die fatalen Konsequenzen ungeschützter Systeme verweist.
Hier wird per Nebensatz unhinterfragbar als Prämisse etabliert, dass a) AV Schutz bietet, b) Systeme ohne AV ungeschützt sind, und c) es fatale Konsequenzen hat, kein AV einzusetzen. Ich bestreite alle drei Prämissen. Wenn dieser Satz nicht in dem Artikel gewesen wäre, hätte ich nichts gesagt. Der Rest des Artikels ist aus meiner Sicht Berichterstattung und neutral gehalten. Da hätte ich mir zwar immer noch gewünscht, dass Heise Security ihre editoriale Reichweite nutzt, um den Leuten deutlich zu machen, dass da nicht nur irgendein Spinner Dinge behauptet, und dass Heise das auch so sieht. Aber das hätte mich nicht genug ärgert, um dazu einen Blogpost zu machen.
Update: Jürgen Schmidt schrieb mir jetzt, dass er diesen Satz anders gemeint hat, als ich ihn verstanden habe. Er wollte damit den Leser da abholen, wo er ist. Er verwehrt sich auch gegen den Eindruck, die Redaktion sei gekauft, von wem auch immer. Ich möchte hier nochmal explizit darauf hinweisen, dass ich das auch nicht vorgeworfen habe. Das Schreibertum von Heise liest sich meiner Meinung nach so. Das heißt nicht, dass irgendjemand tatsächlich gekauft ist — nichtmal, dass das Dogma Absicht ist oder bewusst stattfindet.
Ich habe Jürgen gebeten, einfach mal ein Statement zu veröffentlichen, was das klarstellt. "Wir bei Heise sind keine Antivirus-Proponenten und unsere positive Berichterstattung sollte nicht als Werbung missverstanden werden". Wenn ich Jürgen richtig verstanden habe, ist das bei Heise eh so. Also würde so ein Statement ja auch niemandem wehtun. An anderer Stelle ist Heise ja schon vorbildlich, z.B. wenn sie dranschreiben, dass ein Hersteller dem Journalisten die Reise bezahlt hat. Wenn es sich hier wirklich um ein Missverständnis handelt, können wir das ja mal eben kurz und schmerzlos auflösen. Your move, Heise.
Update: Angesichts dieses Artikels muss ich meine Kritik an Jürgen Schmidt in der Tat zumindest partiell widerrufen. Da schreibt er
vieles von Böcks Kritik trifft voll ins Schwarze
Ich sehe aber immmer noch einen Unterschied zwischen dem Anerkennen von Fakten und dem Aussprechen der sich daraus ergebenden Bewertung, dass Antiviren grundsätzlich nicht vertrauenswürdig sind. Das blieb Heise bisher schuldig.
Aber hey, man kann Trend Micro da keine Vorwürfe machen. Die betroffene Komponente ist in node.js geschrieben. Wer hätte vorher wissen können, dass das problematisch werden könnte?! NIEMAND hätte das wissen können!
Danke für die vielen Einsendunger, die auch alle bei der Schlangenölbranche ihr Glück suchen :-)
Also ich finde es ja schon gut, wenn die Ukraine sich dem Einfluss der westlichen Schlangenzungen entziehen will, aber dafür weist man doch nicht die Journalisten aus, sondern die Nato-Berater und OSZE-"Beobachter"!
Außerdem:
So muss etwa die russische Fluglinie Aeroflot Einschränkungen hinnehmen, ukrainische Behörden dürfen die Antivirussoftware des russischen Anbieters Kaspersky nicht verwenden.*kommentarverkneif* (Danke, Sabine)
Dabei ist es doch völlig klar. Man muss eben Öl und Schlange der verschiedenen Produkte schön voneinandern trennen. Das sieht doch ein Blinder! (Danke, Thomas)
Ich hatte vor einer Weile geschrieben, dass mein neues Notebook ein Schenker XMG P505 geworden ist. Das habe ich jetzt eine Weile im Einsatz und bin nach wie vor hochzufrieden. Die Verarbeitung überzeugt auf ganzer Linie, die verbaute Hardware war Top of the Line beim Einkauf und ist es immer noch weitgehend. Da war keine Bloatware drauf, alles ordentlich installiert, keine unerkannten Geräte im Dateimanager, ich konnte sagen, dass ich lieber ein englisches Windows zu meiner deutschen Tastatur haben will, da lagen auch keine Antivirus-Trial-Bullshit-Vorinstallieren bei, und für Gaming ist der echt prima.
Meine größte Sorge war, dass der dann fürs normale Arbeiten nicht gut sein würde, weil die Batterie nicht lange hält oder der Lüfter immer läuft. Kurz gesagt: Ist kein Ultrabook, der Akku hält gut drei Stunden beim Tippen in der Bahn. Filmgucken kann ich auf Fullscreen im Akkubetrieb für die Lände normaler Hollywoodfilme, und habe dann so 30-40% Akku übrig. Bei einem besonders langen Film (2h20) kam ich bis kurz vor den Abspann. Der Lüfter läuft normalerweise nicht. Man hört nur die Festplatte leise zuckeln, wenn man die nicht runterfährt oder gleich ganz auf SSD setzt. Ich kann gerade echt nichts sagen, was bei mir Unzufriedenheit auslöst bei dem Gerät. Ich benutze den inzwischen auch Zuhause und fahre den Desktop gar nicht mehr hoch. Der 4k-Monitor funktioniert am Mini-DP-Ausgang in 4k mit 60 Hz. Alles super.
So und jetzt der 4k-Monitor. Den habe ich jetzt ein paar Tage im Einsatz und bin auch hochzufrieden. Ich habe bisher keine Schlieren oder Latenzprobleme beobachten können, und fahre den im Moment im Eco-Modus (dunkler). Gimmicks wie Bild-in-Bild oder den Bildbearbeitungsmodus benutze ich nicht, die scheinen aber zu funktionieren. Das Hauptproblem auf einem 4k-Monitor ist, dass man da bei Software nachjustieren muss, um den HiDPI-Modus zu aktivieren. Das kann ein bisschen fummelig werden, aber ich benutze im Wesentlichen unter Linux außer urxvt und Webbrowser keine weiteren Anwendungen, gelegentlich mal einen Image Viewer vielleicht, oder einen gvim. Da setzt man halt die Font hoch, Firefox richtet sich nach der DPI-Zahl, die X leider nicht automatisch aus dem EDID holen kann, die konfiguriert man dann halt manuell mit xrandr. Fertig. Der Monitorsound funktioniert über miniDP vom Laptop aus unter Linux mit mplayer aus dem Stand und ich höre damit gerade den Mass Effect 2 Score seit ner Stunde. Klingt nicht wie so gut wie die Stereoanlage, aber gut genug, dass ich mir damit seit ner Stunde Musik anhöre. Anyway. Schenker-Gaming-Laptops würde ich sofort wieder kaufen, den Monitor nach bisherigem Stand auch. Wenn mir da nicht noch irgendwas ganz doll dreckiges auffällt.
Was mir gerade unerwartet Stress macht ist meine Logitech-G100-Maus, wo die linke Maustaste Aussetzer hat. Da kommen gelegentlich Mausklicks nicht an. Man hört den Klick, aber nichts kommt an. Sehr befremdlich, mit Logitech hatte ich eigentlich bisher nie Ärger. Vorher hatte ich zwei Mäuse von Roccat, das würde ich nicht nochmal kaufen. Die hatten beide das selbe Problem (waren verschiedene Modelle), nämlich dass die Gummischeiben links und rechts mit irgendeinem Billigkleber festgeklebt waren, der dann bei Benutzung warm und flüssig wurde und da an den Seiten rausquoll. Dann hatte ich bei der Mausbenutzung plötzlich klebrigen Schleim an den Fingern. Irgendwann habe ich dann mal genug gehabt und die Gummiplatten abgemacht, den Klebstoff entfernt, und die Platten wieder mit Bastelkleber festgemacht. Aber, sorry, bei Mäusen dieser Preisklasse ist das mal völlig inakzeptabel. Roccat kommt mir nicht wieder ins Haus. Und wenn Logitech jetzt auch nachlässt, gehen mir langsam die Optionen aus. Ich bestehe aus Privatsphäregründen auf kabelgebundenen Mäusen, hätte aber gerne eine optische Maus, die auch auf Glas funktioniert. Das konnten die Roccat-Mäuse auch nicht. Da holt man dann im Hotel auf Reisen die Maus raus und ärgert sich, dass man auch ein Mauspad hätte mitbringen müssen.
Oh, der Monitor tat bei mir in Tests sowohl an einer alten AMD-Grafikkarte im Desktop und am Laptop unter Linux. Da hatte ich mir auch ein bisschen Sorgen gemacht. War aber anstecken-tut. Musste da nichts konfigurieren. Gerade bezüglich MST und so hatte ich mir da Sorgen gemacht. War unbegründet.
Update: Ich probiere gerade Firefox mit GTK3. Damit funktioniert der automatische HiDPI-Modus von Firefox/GTK2 nicht mehr.
"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."Na gut, Fox IT ist eine üble Trojanerbude. Wie sieht es denn mit seriösen Antivirenfirmen aus, sagen wir mal F-Secure?Mikko Hypponen, a renowned security expert and chief research officer for F-Secure, said that while they had detected some parts of Regin since 2009, they were not at liberty to discuss their discovery due to confidentiality agreements with customers who asked them not to publish details of hacks they suffered.2009!!!
Da ist es nicht verwunderlich, wenn der Platzhirsch unter den Abzockern, Comcast, jetzt "Flatrate" im Mobiltelefonsinn für Kabel-Internet anbietet. Nach 300 GB wird abgeschaltet. Wer mehr will, muss nachkaufen. $10 für 50 GB.
Ich rechne fest damit, dass auch Kabel Deutschland demnächst auffällt, dass Drosseln total bescheuert ist, wenn man den Leuten nicht eine Möglichkeit zum Nachkaufen anbietet. Aber hey, Kabel Deutschland fiel ja noch nie dadurch auf, besonders helle zu sein. Die haben ihren Kunden ja auch "Antivirus"-Schlangenöl untergeschoben, das man nicht wegklicken konnte beim Bestellen, sondern später "abbestellen" musste. Taktiken, wie man sie sonst nur von Trickbetrügern an der Haustüre kennt. Und das ging dann um sowas wie 3 Euro pro Monat, von denen der Großteil wahrscheinlich zu den AV-Leuten fließt. Für die paar Cent waren die willens, ihre Kunden nachhaltig zu verärgern. Denn das vergisst man ja nicht, als Kunde, wer einem mit so einer Masche Mist unterzuschieben versucht, den man nicht haben wollte.
Java hat uns den RAM billig gemacht. Computerspiele haben uns Grafikkarten schnell und billig gemacht. Pornographie hat uns Internet schnell und billig gemacht. Und Antiviren machen uns die Rechner schnell und billig. Ich saß da an einem Arbeitsplatzrechner, der vom Kunden zur Verfügung gestellt wurde. Da lief natürlich auch ein Antivirus drauf. Und ich habe da, weil ich ja nichts neues starte oder runterlade, die ganzen Komponenten deaktiviert, die normalerweise so nebenbei mitlaufen, und alle Dateien scannen, die von irgendeinem Prozess geöffnet werden. Stellt sich raus: DAS war es, wieso Office bei mir so flutschte. Bei meinem Nachbarn schnarchte das wie gewohnt vor sich hin. Der hatte das nicht ausgeschaltet.
In diesem Sinne: Antiviren sind natürlich immer noch Schlangenöl und machen die Menschen unsicherer statt sicherer, aber wir sollten ihnen trotzdem dankbar sein, weil sie dafür gesorgt haben, dass andere Software schneller wird, weil es sonst überhaupt nicht ertragbar wäre.
Ich würde sogar so weit gehen, für Linux Antiviren zu fordern. Das ist ein echter Wettbewerbsnachteil, den Linux-Softwareentwicklung da hat. Die Entwickler sehen keinen Optimierungsbedarf, weil das bei ihnen flutscht. Wenn man nicht gerade Old School seine Dokumente mit TeX oder troff schreibt, ist der Performance-Zustand der Office-Suiten unter Unix geradezu beschämend. Und die ganzen Sprallos von Freedesktop und co kommen ja auch jedes Jahr mit weiteren Indirektionsschichten mit XML und endloser Redundanz, weil sie es können! Wenn da noch ein paar Antiviren das System auf C64-Niveau verlangsamen würden, dann würden diese Leute effizienteren Code schreiben.
Die meisten wissen das nicht, aber habt ihr euch mal gefragt, wie Antiviren eigentlich Kernel-Malware desinfizieren? Die haben einen Kernel-Treiber, klar, aber den will man ja nicht jedesmal updaten müssen, wenn man eine neue Desinfektions-Methode einbaut. Daher haben die ganzen Schlangenöl-Lieferanten im Allgemeinen in ihrem Kernel-Treiber einen ioctl, der sie im Kernel-Space frei lesen und schreiben lässt. Die eigentliche Desinfektion findet dann per Peek und Poke aus dem Userspace statt. Dadurch werden dann natürlich elementare Grundsätze wie Code Signing für Treiber unterlaufen, und insgesamt die Sicherheit kaputtgemacht. Aber so funktionieren Antiviren. Fast alle. Soweit ich weiß alle, bis auf Windows Defender. Der hat sowas nicht.
Wenn man dieses Detail kennt, und sich dann überlegt, dass Firmen ihre Systeme zertifizieren lassen, wegen der Sicherheit, und dann die Sicherheitsversprechen wieder kaputtmachen, indem sie Schlangenöl mit Kernel-Poke-Funktionalität drüberinstallieren, dann sieht man, was für ein Wahnsinn das ist, was die Leute sich da alle installieren.
Tja, und jetzt ist auch der letzte Schlangenöllieferant umgefallen, Microsoft.
Vielleicht glaubt ihr mir jetzt endlich, wenn ich sage, dass Antiviren Systeme unsicherer machen statt sicherer.
Aber hey, der Zeitgeist geht hin zum Antivirus für Android.
Nun, äh, Tavis Ormandy hat sich nochmal Sophos angeguckt. Die Ergebnisse sind branchentypisch. Ich zitiere mal aus der Einleitung:
Many of the vulnerabilities described in this paper could have been severely limited by correct security design, employing modern isolation and exploit mitigation techniques. However, Sophos either disables or opts-out of most major mitigation technologies, even disabling them for other software on the host system.Da bleibt kein Auge trocken. Ich sage das ja seit Jahren, dass die Installation von Antiviren die Angriffsoberfläche erhöht statt sie zu senken. Ich meinte das aber eher im Sinne von "da ist eine Tonne von Parser-Code drin", dass Antiviren tatsächlich für andere Anwendungen ASLR abschalten, das ist selbst für die Snake-Oil-Branche bemerkenswert schlecht.Hier noch ein Zitat vom Ende des Papers.
In response to early access to this report, Sophos did allocate some resources to resolve the issues discussed, however they were clearly ill-equipped to handle the output of one co-operative, non-adversarial security researcher. A sophisticated state-sponsored or highly motivated attacker could devastate the entire Sophos user base with ease. Sophos claim their products are deployed throughout healthcare, government, finance and even the military.
Sprecht mir also nach: Antiviren sind Snake Oil.
Kann ja mal passieren, bedauerliches Missverständnis *hust*
In diesem Fall scheint es wohl sogar tatsächlich Parallelen zu geben. Wie spannend das jetzt wirklich ist, das wird sich zeigen müssen. Mein erster Eindruck ist nicht, dass da gerade Geschichte geschrieben wird. Wer sich selber eine Meinung bilden will: Hier ist ein Whitepaper dazu von Symantec.
Oh und wo wir gerade bei Malware sind: inzwischen gibt es auch einen Kaspersky-Blogeintrag zum Staatstrojaner-Dropper. Der kursiert seit einer Weile in der Antivirusindustrie. Ein Dropper ist sowas wie ein SETUP.EXE für Viren, der Installer sozusagen. In dem Dropper kann man sehen, dass es auch ein 64-bit Kernelmodul gibt. Wir hatten uns ja darauf gefreut, dass man da womöglich eine die Quelle preisgebende Signatur dran sehen könnte, aber das ist leider nicht so. Da ist zwar ein Zertifikat dran, aber das ist nicht vertrauenswürdig und wird daher von Windows abgelehnt. Hier wäre also ein weitere Eingriff durch die installierende Behörde nötig, damit das überhaupt sauber lädt.
Signature definitions are authenticated using a weak crypto scheme that is trivially defeated, making transport security essential. Sophos do not use transport security.Der wichtige Punkt ist aber, dass selbst wenn sie die ganzen Probleme reparieren, Antiviren immer noch Snake Oil sind, prinzipbedingt. Sie können nur bekannte Viren sicher erkennen und sich ansonsten auf Heuristiken verlassen, was ein Programmierer-Euphemismus für "funktioniert nicht zuverlässig" ist.
Zentrale Kernaussage ist, dass die Bundespolizei eine Apache-Distribution namens XAMPP eingesetzt haben. Den Teil mit Open Source und Apache hat der Focus allerdings nicht gemerkt, sonst hätten sie da wahrscheinlich fett draufgekloppt. Haben sie aber nicht. Sie haben das so verstanden, als sei das ein Antivirus (!?!?):
Peinlich nur, dass die geheimen Datenträger durch eine Billig-Software geschützt waren, die Spezialisten der Bundespolizei vorgegeben hatten.Auch der nächste Teil ist ein Money Quote für die Ewigkeit:
Die Bundespolizei diente den Partnerbehörden nach Angaben des BSI eine Server-Software namens XAMPP an, vor deren Risiken sogar normale Handbücher warnen. Das Fazit der Zollbeamten: „Diese von der Bundespolizei … angebotene Lösung ist risikobehaftet.“ Auch die Bundesnetzagentur stuft das Programm als unsicher ein. Der virtuelle Schutzmantel ist demnach so dünnhäutig, dass er einzig für den Privatgebrauch außerhalb des Internets und für Ausbildungszwecke gedacht ist.Ich sehe ein T-Shirt auf uns zukommen! "Not even XAMPP can protect you!" oder so. Käptn, der XAMPP-Schutzmantel ist gebrochen, Schilde bei 40%!
Bitcoin hat ja von Anfang an den schlechten Geruch gehabt, ein Verfahren zur Umwandlung von Umweltverschmutzung und Energieverschwendung zu wertlosen Zahlenkolonnen zu sein, aber wenigstens haben die Leute die Energieverschwendung selber bezahlt. Das jetzt wildfremden Internetbenutzern aufzudrücken, das ist ja wohl an Frechheit kaum zu überbieten.
Der Code ist über das Web einbindbar, die Domain ist bitp.it. Websperren bringen hier natürlich nichts, die Skripte kann man sich ja auch kopieren als Webseitenbetreiber. Wenn jedenfalls bei eurem Mobiltelefon oder Laptop vorzeitig der Akku alle ist, nur weil ihr z.B. diesen Symbol-nach-LaTeX benutzt habt, dann wisst ihr ab jetzt, dass es Bitcoin war.
Schlimm genug, wie wir Menschen uns gegenseitig Werbung antun. Jetzt auch noch parasitäre Umweltverschmutzung und Batterieentleerung?! Und die Armleuchter in den Foren debattieren schon, wie sie vermeiden können, von Antivirus-Snakeoil als Malware klassifiziert zu werden. Man kann gar nicht so viel fressen, wie man kotzen möchte. (Danke, Giuliano)
Das war die erste Ansage. Bis der Patch rauskommt dauert das immer noch Monate, aber das liegt nicht an den Ingenieuren, sondern weil das zwei Monate durch die Qualitätssicherung läuft, und wenn da irgendwas auffällig ist, dann rollen sie alles zurück und ein neuer Patch muss her. Das ist in diesem Fall mit dem Printer-Spooler-Patch passiert, daher gab es dafür den Patch erst letzte Woche so.
Die zweite Ansage war, dass Microsoft ihre Erkenntnisse sofort mit der Antivirusindustrie geteilt hat. Über eine Mailingliste, auf der einmal alle subscribed sind.
Den Rest könnt ihr euch jetzt ja selber zusammenreimen.
Oh, einen noch. Bruce hat dort auch gezeigt, was das für Bugs waren. Zwei Erkenntnisse waren auffallend: a) das waren sehr, sehr peinliche Bugs für Microsoft. Wenn mir vor fünf Jahren jemand gesagt hätte, dass Microsoft solche Bugdetails auf einem CCC-Congress nicht nur offenlegt sondern freiwillig zugibt, hätte ich ihn ausgelacht. b) da war keine Speicherkorruption involviert. Kein ASLR-Gerate nötig zum Exploiten. 100% Zuverlässigkeit. Ich muss meine Schätzung für die Kosten dieser Bugs also noch nach oben korrigieren. Wir hatten ja in Alternativlos 5 angesagt, das wird so siebenstellig gewesen sein. Jetzt würde ich sagen: nicht knapp siebenstellig, eher so 2-3 Mio Dollar. Wenn nicht noch mehr.
Ich finde es immer schade, dass da die geifernden Linux-Horden die Kommentare mit ihrer schlechten Laune vergiften, anstatt da mal konstruktiv tätig zu werden. Es ist übrigens bei weitem nicht so, dass Linux weniger Sicherheitslücken hat, wie der eine oder andere vielleicht in seiner naiven Unwissenheit annimmt. Es gibt nur noch keinen Trojaner-Markt, weil der Marktanteil zu gering ist. Genau das gleiche Phänomen, das auch Apple im Moment noch schützt.
Wer sich wundert, wie ausgerechnet Symantec Details zu irgendwas selbständig rausgefunden haben will: keine Sorge, ihr müsst euer Weltbild nicht justieren. Mir hat ein Vögelchen geflüstert, wo "deren Analyse" des Windows-Teils tatsächlich herkam. Ich versuche gerade, denjenigen zum CCC-Congress einzuladen. Mal gucken, ob es klappt.
Ende September ist eine Konferenz der Antivirusindustrie. Das ist zwar alles Snake Oil, aber zwischen den Pfuschern und Kriminellen arbeiten auch ein paar fähige Leute, und ich gehe davon aus, dass so ungefähr jede Bude, die was auf sich hält, das für ein-zwei Papers zu Stuxnet nutzen wird. Oder zumindest hoffe ich, dass mir jemand von den dortigen Kaffeepausenplaudereien zu Stuxnet erzählt :-)
Oh und for the record: Antiviren sind Schlangenöl. Ich habe keinen installiert.
Update: Oh und wo wir gerade bei McAfee waren: die packen auch schonmal svchost.exe auf xpsp3 in Quarantäne. Das ist eine echt zentrale Komponente von Windows. (Danke, Martin)
Antivirenhersteller wissen natürlich, dass sie unseriöse Geschäftemacher sind, und kennen auch 42.zip. Warum erzähle ich das alles? Yahoo hat mit McAfee einen Deal gemacht, und wenn man bei deren Suchmaschine nach fefe sucht, kriegt man bei fefe.de ominöse Warnungen, ich würde Trojaner oder Adware verteilen.
Kennt jemand einen Anwalt, der Lust hat, an Yahoo ein Exempel zu statuieren?
[Screenshot 1, Screenshot 2] (Danke, Korbinian)
Die SINA-Box ist ein VPN-Endpunkt, kein MITM-Werkzeug. Man benutzt es gerade, um sich gegen MITM zu schützen. In das große Lawful Interception Bild paßt die SINA-Box höchstens indirekt rein, wenn die abgehörten Daten damit verschlüsselt zum "Bedarfsträger" (so nennt man das im Fachjargon) geleitet werden. Ich hoffe, Volker fängt sich jetzt keine Klage von Secunet (dem Hersteller der SINA-Box) ein, denn was er da geschrieben hat ist Bockmist.
Der Staat wird auch nicht anfangen, Dateien in vorbei fliegenden Downloads zu ersetzen. Theoretisch ist das denkbar, aber wenn sie das tun, und jemand prüft Checksummen nach, dann ist der Trojanerversuch enttarnt. Daher halte ich das für unwahrscheinlich.
Dann gab es da noch die Theorie, daß sie Windows Update o.ä. mißbrauchen. Auch das halte ich für abwegig, denn eine Firma wie Microsoft hat eh schon damit zu kämpfen, daß Softwarepiraten ihren Updateservice für nicht vertrauenswürdig halten, und die Updates nicht installieren, sich dann Malware einfangen, und am Ende sieht das so aus, als sei Windows mal wieder total trivial zu infizieren, dabei gab es den Patch schon seit Jahren. Daher kann ich mir nicht vorstellen, daß die sich für sowas mißbrauchen lassen. Und per MITM kann man bei solchen Update-Services nur was reißen, wenn die wirklich schlecht implementiert sind, bei MS Update und hoffentlich auch allen Antivirus-Updates sind digitale Signaturen involviert, gerade um MITM-Angriffe abzuwehren.
Die nächste Variante wäre, den Leuten den Trojaner einfach per Spam zu schicken, und dann zu hoffen, daß die Leute da draufklicken. Und die Variante ist die einzige, von der ich mir vorstellen kann, daß unsere Strafverfolgungsbehörden ausreichend Expertise haben, nachdem ihnen jemand anderes einen Trojaner gehackt hat. Ich hatte ja bisher nicht viel mit den Strafverfolgungsbehörden zu tun, aber wenn, dann haben die jedes Mal einen katastrophalen Eindruck hinterlassen. Gut, kann natürlich auch Schauspielerei sein, damit sie unterschätzt werden :-)
Insofern mache ich mir da wenig Sorgen, jemals von einem Bundestrojaner betroffen zu sein. Mein momentaner Eindruck ist, daß da einfach jemand geplappert hat, was sie gerne hätten. Jemand, dessen Sachkenntnis sich aus Hollywood-TV ala "Alias" oder "CSI" speist ("Image-Enhancement aktivieren, fraktale Extrapolation des Gesichts anhand der zwei Pixel auf der Überwachungskamera läuft…"). Jemand, der von Tuten und Blasen keine Ahnung hat, und der gerade dafür gesorgt hat, daß sich mein Eindruck der Strafverfolgungsbehörden noch mal deutlich in Richtung Tiefgeschoss verschiebt. Aber ich kann nicht sagen, daß ich das schlecht finde, wenn die Strafverfolgungsbehörden unfähig sind. Das ist immerhin der beste Schutz, den wir vor "Antiterror"gesetzen und staatlicher Oppression haben.
Der künftige Ober-Bayer Günther Beckstein verriet sich selbst auf dem 10. Europäischen Polizeikongress in Berlin. Zu einer Talkshow-tauglichen Anekdote aufgelegt, erzählte er gutgelaunt, er selbst hätte beinahe auf seinem privaten PC einen per E-Mail geschickten Trojaner-Anhang geöffnet, der sich mit dem Absender BKA tarnte. Er hätte als Innenminister natürlich angenommen, darin sei eine dienstliche Information für ihn enthalten und "hundertprozentig" draufgeklickt, wenn ihn nicht seine Frau noch rechtzeitig vor einem der gefährlichsten Angriffe überhaupt gewarnt hätte.Was ich ja nicht verstehe, wenn ich sowas lese… hat die CSU denn keinerlei Anforderungen an Mitglieder?!
Aber das ist noch gar nicht das Highlight. Das Highlight ist, wie der Zierke (ihr wißt schon, der Spezialexperte vom BKA) begründet, daß sie die Online-Durchsuchungen brauchen:
"Das Zweite ist, wir können zum Beispiel in das Milieu des islamistischen Terrorismus mit verdeckten Ermittlern fast nicht eindringen. Wir sehen nicht, äh, ähnlich aus wie viele Leute im Milieu, wir sprechen nicht die arabische Sprache. Wir müssen uns daher andere Zugänge überlegen, weil der islamistische Terrorismus überwiegend über das Internet kommuniziert. Das ist das Rekrutierungsmittel, das ist das Mittel zur Radikalisierung der Szene."Fassen wir also zusammen: das BKA ist zu dämlich, die Islamisten zu unterwandern. Und weil die alle Internet benutzen, und weil inkompetente Idioten die anderen auch immer alle für mindestens genau so dämlich wie sich selbst halten, ist sich das BKA sicher, daß die dummen Islamisten alle auf Email-Attachments klicken werden. Nicht zu fassen. Und falls noch jemand Zweifel an der Inkompetenz von Herrn Zierke hat… lest, wie er auf die Frage nach absichtlich von Herstellern drin gelassenen Hintertüren antwortet:
"Nein, auch darum geht es nicht. Äh, wir werden mit unseren Programmen, die wir anwenden werden, nicht in solche Lücken hinein müssen, die allgemein zum Schaden der Bevölkerung da sind, sondern wir werden sehr kontrolliert mit hoch professioneller Software unsere Programme starten und werden dann den Weg finden, um dieses aufklären zu können. Vor allem, und das geht noch einmal um die Frage, warum keine offene Hausdurchsuchung äh, Kriminelle laden diese Daten, die man auf der Festplatte normalerweise hat, ins World Wide Web aus. Das heißt, der Speicherplatz ist das Internet irgendwo weltweit."Nicht zu fassen, was für Vorstellungen der Mann hat! Schlimmer noch, wenn der schon selber glaubt, daß die Daten irgendwo im Internet gespeichert sind und nicht auf den PCs der Islamisten, … wieso will der dann überhaupt online durchsuchen?
"Wir wollen, nein, wir können das Internet weltweit eben nicht durchsuchen. Das ist ja das Riesenmissverständnis, was hier entsteht. Wir können nur direkt am Computer des einzelnen ansetzen und nur dann, wenn es unverschlüsselt ist, das heißt, selbst die Verschlüsselungs-Software macht uns große Probleme. Deshalb müssen wir vor dem Verschlüsseln und nach dem Entschlüsseln ansetzen können. Wir brauchen die Passwörter, die man ja auch normalerweise nicht auf dem eigenen Computer abspeichert. All das können wir nur, wenn wir es online machen."Immerhin hat ihm jemand erklärt, daß "Trojaner" etwas schlechtes ist, wogegen Leute sich Antivirus-Software installieren, und daher wollen sie das lieber anders nennen.
Berichten zufolge haben die Sicherheitsdienste inzwischen auch Spionageprogramme entwickelt, die über das Trojaner-Prinzip hinausgehen. Diese würden Computer automatisch nach ungesicherten Einfallstoren durchsuchen, sobald sie sich im Internet anmelden. Nach getaner Arbeit deinstallieren sich die Spione dann selbst und verschwinden unerkannt.Aha, also Würmer statt Trojanern. Na das ist doch gleich viel klarer illegal als ein Trojaner. Ein echter Fortschritt für den deutschen Rechtsstaat.
Zumindest die inländische Antivirusindustrie ist ja voll aus dem Rennen, wenn sie ausgerechnet diesen Trojaner nicht entfernen darf. Na, liebe Politiker, dieses Knistern, das ihr da gerade hört, das sind die Arbeitsplätze, die ihr gerade verbrennt. Hoffe es wärmt schön, denn nach eurer Abwahl habt ihr euch alle mal eine Runde Hartz IV verdient.
Nun betrifft mich das mehr als andere, denn ich bin beruflich Hacker, der bei anderen Leuten die Sicherheit prüft und verbessert. Und wenn man mir da die Werkzeuge wegnimmt, ist das ein handfester Wettbewerbsnachteil.
Nun stellt sich schon wirtschaftlich gesehen die Frage, was das soll. Immerhin hat der Schily mit großem Aufwand der inländischen Sicherheitsindustrie Kohle zugesteckt, mit sinnfreiem RFID/Smartcard/PKI/Biometrie-Blödsinn. Und jetzt treiben sie die inländische Sicherheitsindustrie ins Ausland? Nun könnte man argumentieren, daß die ja vielleicht nur ihre Hacker-Abteilung ins Ausland schieben, die Unternehmen. Aber mal ehrlich, wenn man schon die hochbezahlten Hacker ins Ausland schiebt, vermutlich in eine Niedriglohn-Steueroase, wieso dann nicht auch die Verwaltung dort hin schieben? Wenn ich hier nicht arbeiten kann, wieso sollte ich denn dann meine Firma hier weiter laufen lassen? Um den armen Politikern mehr Steuern zu geben? Meine Firma ist hier, weil ich hier bin. Wenn sie mich hier nicht arbeiten lassen, ist auch meine Firma weg. Ist doch klar.
Nun habe ich mich gefragt, wie man am besten klar machen kann, wieso kriminelle Intention wichtig ist. Ich bin an sich libertär eingestellt und finde auch, daß Kriminelle Hackertools haben dürfen sollten, denn richtige Sicherheit ergibt sich ja nicht, wenn man dem Gegner die Waffen verbietet (da scheißt der Gegner aus dem fernen Ausland drauf), sondern wenn man seine Installationen gegen Angriffe immunisiert hat, und dann ist es wurscht, ob der Gegner ein Tool hat oder nicht.
Aber mir kam die Idee: was ist eigentlich ein Virus anderes als ein Hackertool? Es ist ein Stück Software, mit dem ein Angreifer bei anderen Leuten Schaden machen kann. Wenn wir jetzt also den Besitz von Hackertools unter Strafe stellen, dann kriminalisieren wir die Opfer von Viren, nicht die Täter (denn die sind ja eh unbekannt und werden in den meisten Fällen nie erwischt). Wir helfen also den Opfern nicht, wir bedrohen sie noch mit Freiheitsentzug. Das ist ja schon mal eine tolle Wurst, aber denkt mal weiter. Wie soll denn jemand einen Antivirus schreiben, wenn er den Virus nicht besitzen darf, mit dem er prüfen könnte, ob sein Antivirus funktioniert. Gut, meine Meinung zu Antiviren kennt ihr ja vermutlich, ich halte da nicht viel von, aber wir haben in Deutschland einige bekannte Antivirenhersteller, das ist ein Wirtschaftsfaktor. Und denen erteilt dieses Gesetz ein Berufsverbot.
Was meint ihr, ist das ein stichhaltiges Argument? Kapiert das ein Politiker? Oder muss man erst damit drohen, daß man die Abgeordneten wegen Besitzes von Hackertools anzeigt, sobald sie sich das nächste Mal einen Virus einfangen?
Update: Nicht der Besitz soll unter Strafe gestellt werden, sondern das Sich Verschaffen, daher müsste man bei den Viren auf das Weiter-Infizieren abheben, nicht auf das bloße Haben eines Virus. Und offenbar ist auch das eher wackelig als Argumentation, weil da der Vorsatz fehlt.
Na egal, habe ich halt ein anderes zlib-Interface ("inflate") benutzt, um damit die hereinkommenden Daten, die ich per recv lese, zu unzippen, und was soll ich euch sagen — Z_DATA_ERROR. Weil zlib ein anderes Format als gzip benutzt, und man muss inflate sagen, daß man einen gzip-Header erwartet, indem man inflateInit2 benutzt statt inflateInit, und dann bei dem Parameter, der die Anzahl der Bits im Compression Window, 32 dazu addiert. Das teilt dann inflate mit, daß auch ein gzip-Header OK ist.
Aber hey, ich habe da jetzt schon so viel Zeit rein versenkt, diesen Benchmark unter Windows zum Laufen zu bringen, ich lasse mich jetzt nicht von zlib abhalten!! Also habe ich das gemacht, und immerhin den 1. Teil durchgeführt, das Auspacken des Tarballs. Vorher den Durchsatz mal verdreifacht, indem ich den Antivirus, Windows Defender und den Search Service abgeschossen habe; soll die Nachwelt entscheiden, ob ich das tun mußte, weil das sonst unfair gewesen wäre, oder ob ich das hätte drinlassen sollen. Man könnte ja auch argumentieren, daß Microsoft einem diesen Scheiß per Default ausliefert, also ist das nicht meine Schuld, wenn ich das nicht ausmache. Ich habe ja auch unter Unix den sshd nicht abgeschossen. Anyway, ich habe also endlich die Dateien auf die Platte gehauen, und meinen gehackten Webserver gestartet, und … ich kriege bizarrste Fehlermeldungen. Ich benutze da u.a. overlapped I/O, d.h. ich haue Requests raus, und queue die mit einem Zeiger auf eine State-Struktur an einem Completion Port, so funktioniert deren API. Dann kriege ich mitgeteilt, da ist ein Vorgang fertig, und hier ist der State dazu. Und an der Stelle wird einem dann auch gesagt, wie viele Bytes man denn nun tatsächlich gelesen hat. Und was soll ich euch sagen, ich queue da Reads für 8k (mehr Header erwarte ich nicht, die tatsächlichen Header sind eher so 150 Bytes), und der Completion Port sagt mir dann, "ich habe die 83k gelesen, die du haben wolltest". WTF?! Nicht nur das, ich kriege auch den Effekt, daß ein Read, den ich rausschicke, nicht mit "OK, ich melde mich dann später" antwortet, sondern sofort fertig wird. Laut API-Beschreibung kann das nicht passieren. Tja, und dann segfaultet der Serverprozeß plötzlich. Reproduzierbar. Oh, nicht in meinem Code, in NTDLL. Grunz!! Ich vermute ja, daß da deren State Machine durcheinander kommt und mir einen Block zweimal zurück gibt, und daher ein Double Free passiert oder so. Aber im Moment ist das völlig unklar alles.
