Fragen? Antworten! Siehe auch: Alternativlos
Moshen Dragon's TTPs involve the abuse of legitimate antivirus software belonging to BitDefender, Kaspersky, McAfee, Symantec, and Trend Micro to sideload ShadowPad and Talisman on compromised systems by means of a technique called DLL search order hijacking.Na sowas! Das klingt ja fast so, als würden sogenannte "Antivirus"-Produkte neue Angriffsoberflächen schaffen!!1!Meine Güte, Fefe! Das ist ja furchtbar! Hätte uns nur jemand rechtzeitig gewarnt! (Danke, Norbert)
Hier ist ein wunderschöner Reisebericht zur Zentralkonferenz der Bitcoin-HODLer.
Circle, BlockFi, Pantera Capital, NYDIG and others suffered a data breach over the weekend through HubSpot, a vendor that stores users’ names, phone numbers and email addresses for marketing purposes.Hey, das sind doch Leute, denen du deine Finanzen anvertrauen willst!1!! (Danke, Peter)
Daraufhin hat der Kunde bei Microsoft herumgemeckert. Microsoft hat ihnen dann erklärt, dass das so nicht funktionieren kann. Und außerdem macht man das so nicht, das sieht ja aus wie etwas, das ein Virus machen würde.
Daraufhin der Kunde so:
The customer liaison explained that it’s quite the opposite: The customer is a major anti-virus software vendor! The customer has important functionality in their product that that they have built based on this technique of remote code injection, and they cannot afford to give it up at this point.Ja. Überrascht mich ehrlich gesagt überhaupt nicht. Ich kann da wegen NDA immer keine Details ausplaudern, aber wenn ich gegen die Schlangenölbranche wettere, dann ist das nicht bloß ein Bauchgefühl, soviel kann ich euch versichern.Das ist wie bei Pispers' Antiamerikanismus :-)
Außer natürlich man ist da Kunde.
Aber dasselbe Muster gibt es auch anderswo! Die Cops nehmen auch seit Jahren immer wieder plakativ den größten Warez-Server vom Netz, und jetzt aktuell irgendwelche Ransomware-Gangs, und da wird dann auch immer erklärt, es sei das größte Cybercrime-Ding der Welt gewesen.
Ich würde also gerne mein Muster erweitern. Nur gibt es in beiden Fällen keine offensichtlichen Top-Täter wie bin Laden. Was also tun?
Auf Drogenbusts könnte man das eigentlich auch mal anwenden, und auf Waffenlager.
Nach wem benennen wir das also am besten? Fangen wir aus aktuellen Anlass mit den Ransomware-Busts an. Die heißen ab jetzt: Sie haben die rechte Hand Putins erwischt:
Während in Deutschland eine Stadtverwaltung nach der anderen von Verschlüsselungserpressern lahmgelegt wird, wurde das gefährlichste dieser kriminellen Syndikate von US-Strafverfolgern, Geheimdiensten und europäischen Polizeibehörden zerschlagen.Da könnte man jetzt Einwände haben.
Kommt in der Praxis nicht vor. Es waren IMMER die Russen. Gerade wenn nicht dransteht, dass es die Russen waren, wissen doch alle: Es waren doch die Russen. So haben wir die Bevölkerung jetzt konditioniert, so ist es also ab jetzt.
Da mache ich mir im Moment nicht viel Sorgen, aber selbst wenn. Das hat uns bei bin Laden ja auch nicht gestört.
Finde ich nicht gut. Erstens will ich diesen Attribuierungsscheiß nicht noch validieren, indem ich deren Narrativ übernehme. Zweitens kapiert das außerhalb der Branche niemand.
Stimmt inhaltlich auffallend, aber zu der Transferleistung sind glaube ich da draußen viele nicht fähig und das funktioniert auch nur, wenn du den Namen schonmal gehört hast.
Weitere Vorschläge nehme ich unter der bekannten E-Mail-Anschrift entgegen.
Da brauche ich auch noch einen Blick auf die andere Schlangenölbranche.
Oh Mist. Das war kontraproduktiv. Jetzt hab ich noch schlechtere Laune.
Ich traue mich gar nicht, den Artikel zusammenzufassen. Das ist so ein Feuerwerk aus Money Quotes. Wenn ich eines wählen sollte, wäre es das hier:
Die Staatsanwaltschaft Münster geht jedoch davon aus, dass die Kryptowährung Onecoin nie existiert hat.LOL! (Danke, Bartosz)
Eigentlich soll die Sicherheitslösung McAfee Endpoint Security (ENS) Windows Computer schützen. Aufgrund von drei Schwachstellen ist nun aber das Gegenteil der Fall.No shit! Hätte uns doch nur vorher jemand gewarnt!
Der Insolvenzverwalter hat die EY-Mitarbeiter von ihrer Verschwiegenheitspflicht entbunden. Aussagen wollen diese im Wirecard-Untersuchungsausschuss dennoch nicht.Ja gut, das wäre ja auch Geschäftsschädigung. Für Wirtschafts"prüfer"unternehmen jetzt. Wenn rauskäme, was die tatsächlich tun, wenn sie mit einer Prüfung beauftragt wurden.
Der Einsender kommentiert:
Wirtschaftsprüfer sind auch so eine SchlangenölbrancheWirtschaftsprüfer bescheißen ja nicht den Kunden sondern das Finanzamt. Die machen genau das für ihre Kunden, was die Kunden haben wollten, nämlich beim Bescheißen des Finanzamts zu assistieren. Insofern ist das so direkt nicht vergleichbar finde ich.
Schwere Zeiten für die AV-BrancheDas höre ich gerne, aber an der Stelle sei auch mal gesagt: No thanks to you, Heise! Seit Jahrzehnten schreibt ihr regelmäßig, dass alle sich Schlangenöl installieren sollen. Und jetzt plötzlich:
Sie müssen sich neue Geschäftsfelder und -modelle erarbeiten – und konkurrieren dabei mit innovativen Firmen, die ohne den Klotz "Antivirus" am Bein oft agiler auftreten können.Jetzt ist das plötzlich ein "Klotz"?
Ich meine, versteht mich nicht falsch, ich freue mich ja immer, wenn sich die von mir vertretene Position durchsetzt, aber da hätte ich doch ein bisschen mehr Selbstreflektion erwartet an der Stelle.
Immerhin berichtet ihr ja seit Jahren auch über die nicht abebbende Ransomware-Welle, die ja völlig mysteriös existiert, obwohl alle auf euren Rat Schlangenöl installiert haben. Da hätte man ja schon auf die Idee kommen können, irgendwann auf dem Weg, dass vielleicht die Versprechungen der Schlangenölbranche alle nicht das Papier Wert sind, auf dem ihr die Wieselformulierungen nicht ausgedruckt habt?
Jetzt einfach so zu tun als sei das ja alles eh die ganze Zeit klar gewesen, das finde ich ziemlich unehrlich von euch.
Mich ärgert auch, dass ihr in dem Artikel "der Defender von Microsoft ist gut genug" behauptet. Wenn er das wäre, dann gäbe es keine Ransomware.
Geht mir gleich viel besser!
Aufgrund einer kritischen Sicherheitslücke im Netzwerk-Betriebssystem PAN-OS von Palo Alto sind verschiedene Geräte verwundbar. In einigen Fällen könnten sich Angreifer Admin-Rechte verschaffen und die volle Kontrolle erlangen.Hätte uns doch nur jemand gewarnt!!1!
Eigentlich sollen Symantecs Endpoint Protection (SEP) und Symantec Endpoint Protection Manager (SEPM) Computer schützen. Aufgrund von fünf Lücken könnten Angreifer jetzt PCs attackieren.Ach komm, da packst du einfach noch eine Packung Schlangenöl vom Konkurrenten drauf! Wie hoch sind die Chancen, dass beide unsicher sind!1!!
#Lindner beklagt, dass man den Virus mit dem Mitteln des Mittelalters bekämpfe. Er fragt: "Wo sind die #Apps?" Deutschlands digitale Defizite mache sich nun negativ bemerkbar.Ja aber echt mal. Die Mittel des Mittelalters! Genanalyse und RNA-Nachweise! Antikörpertests! Feinfiltermasken! Beatmungsgeräte! Computerstatistik! Doppelblindstudien für Impfstoffe!
Wusste gar nicht, dass der Lindner ein Fan von Alternate History Fiction ist!
Die Produkte sind über fünf Sicherheitslücken angreifbar – vier davon gelten als "kritisch".Kritisch heißt, dass ein Angreifer über das Netzwerk euren Rechner übernehmen kann. Mit anderen Worten: Das Schlangenöl schleppt genau die Art von Problem ein, für dessen Lösung sie gekauft wurde.
Hätte uns doch nur rechtzeitig jemand gewarnt, dass Schlangenöl die Angriffsoberfläche erhöht!
Wer darin jetzt einen schönen Bug findet, kann damit einmal alle Kunden von Avast hopsnehmen.
Damit man beim Bugsuchen nicht so viel Schmerzen hat, hat der gute Tavis das unter Linux lauffähig gekriegt. Viel Spaß!
Wie dieser Mann es bei so viel Zorn über das Verhalten der Medien und der Polizei und Strafverfolgungsbehörden in den Medien immer wieder schafft, mit chirurgischer Präzision bei den Fakten zu bleiben, das ist mir unbegreiflich.
Update: Bei dieser Gelegenheit möchte ich auch gleich mal den Burn des Jahres feiern. Der kommt aus Fischers Kolumne über die Causa Wendt. Ich zitiere:
Es stellt sich hier nicht die Frage, ob man das Herrn Wendt persönlich gönnen mochte: Auch im Lotto muss ja schließlich irgendwer gewinnen, und wenn man eigentlich jeden nehmen kann, kann's ja auch ein pensionierter Schutzmann aus der Versicherungsbranche sein.
*tusch*
Und wenn wir schon am feiern sind... hier ist noch ein Zitat aus demselben Artikel:
Deshalb ist es auch ziemlich egal, ob man Herrn Höcke "Faschist" nennen darf, was jetzt manche Antifaschisten gerne tun, vor allem im Fernsehen, in der kindlichen Hoffnung, dann würden "die Menschen" sagen: Ja wenn das so ist!, und wieder SPD wählen oder wenigstens AKK. Dabei übersehen sie, dass Herr Höcke nicht gewählt wird, obwohl er Faschist ist, sondern weil er es ist. Und dass Herr Höcke sich nicht wie Rumpelstilzchen in der Luft zerreißt, wenn man seinen geheimen Namen herausgefunden hat.
*feier*
Mozilla hat die Browser-Erweiterungen von Avast in seinem offiziellen Verzeichnis gesperrt. […] Betroffen ist auch das Addon "SafePrice". Beide sind außerdem unter dem Markennamen AVG erschienen […]. Die Erweiterungen haben offenbar den gesamten Browser-Verlauf der Nutzer an einen Avast-Server geschickt.DSGVO? Wir hörten davon!1!!
Heute als Doppel-Einschlag: Cisco-Schlangenöl!
A vulnerability in the implementation of the Lua interpreter integrated in Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an authenticated, remote attacker to execute arbitrary code with root privileges on the underlying Linux operating system of an affected device.Das setzt Maßstäbe. Der Scheiß läuft als root! Als root!!Ich sollte die Gelegenheit nutzen, mal grundsätzlich vor Appliances zu warnen. Es gibt da ein verbreitetes Missverständnis. Spezialisten sind nicht gut darin, etwas gut zu machen, sondern die sind gut darin, etwas schnell und billig anzubieten. Leute, die Appliances anbieten, sind gut darin, Appliances günstig anzubieten. Und Appliances haben den "Vorteil", dass Kunden im Allgemeinen nicht reingucken dürfen. Da kann man als Hersteller also ganz andere Pfusch-Level fahren (obwohl es da erschütternderweise auch bei Nicht-Appliances wenig Zurückhaltung gibt).
Dass da zentrale Dienste ohne Not als root laufen, das ist im Appliance-Umfeld nicht selten. (Danke, Martin)
Es trifft mal unsere Freunde vom "Norton Support" (nur echt mit dem Deppenleerzeichen).
Der Einsender fragt:
Passwortstärke ist nicht deren Stärke. Sichere Software auch nicht. Was machen die eigentlich beruflich?Na Leuten mit Warnungen vor vorgespielten Bedrohungen (wie meinem 42.zip) Geld aus der Tasche ziehen! Ich dachte, das hätten wir inzwischen geklärt?
TrendMicro Employee Sold Customer Info to Tech Support ScammersFinde ich ja völlig naheliegend aus Sicht der Tech-Support-Scammer. Die Erfolgsquote liegt bestimmt viel höher, wenn man Leute scammt, die schon auf einen anderen "Dein Rechner ist voll unsicher!1!!"-Schlangenölvertreter reingefallen sind.
An der Stelle sei auch nochmal an diesen und diesen Rant im Blog erinnert, die ich rückblickend nur als prophetisch bezeichnen kann.
Übrigens habe ich gerade ein vergleichbares Problem mit Spotify. Die haben nämlich einfach alle Alternativlos-Folgen in ihr Programm aufgenommen, ohne dass wir ihnen das erlaubt hätten. Und ihr werdet nicht glauben, was die mir jetzt sagen, nachdem ich sie über ihr strafbares Verhalten in Kenntnis gesetzt habe: Sie wollten gerne, dass ich für sie unbezahlt die Arbeit des Ausfüllens eines Webformulars in ihrer Gammel-IT übernehme. Denn, Zitat,
ohne das offizielle Formular können wir den Prozess leider nicht lostreten.Muss man wissen. So eine Straftat geht ja erst dann richtig los, wenn das Opfer noch beim Täter das Webformular ausfüllt. Vorher ist der Täter gar nicht wirklich der Täter.
Ich bin mal gespannt, ob der Richter das auch so sehen wird.
Und insgeheim hoffe ich ja, dass der Richter das auch so sieht. Denn dann fällt Google ja auch nicht mehr unter das Leistungsschutzrecht. Immerhin haben die ein Webformular, das die Verlage noch nicht ausgefüllt haben. Und die ganzen Bittorrent-Raubmordkopierer können auch nicht mehr belangt werden, wenn sie sich bloß irgendwo ein Webformular einrichten. Bei Google Docs zum Beispiel!1!! Full Circle!
Das wäre ein Preis, den ich zu zahlen bereit wäre, um die Urheberrechts-Abmahnindustrie kaputtzumachen.
Das Webformular verlangt übrigens, dass man erstmal den Client installiert. Ja nee, klar.
Ich frage mich ja so ein bisschen, wie entspannt Spotify damit umginge, wenn ich einfach ihren Content irgendwo kommerziell ausschlachten würde, und ihnen dann sagen würde, ich kann den Prozess erst lostreten, wenn sie mein Webformular ausgefüllt haben. Und das Webformular erfordert dann die Installation von einer schönen Ransomware oder so.
Voll hilfreich, dieser "Norton Support" (nur echt mit Deppenleerzeichen!)
Hackers accessed the internal network of Czech cybersecurity company Avast, likely aiming for a supply chain attack targeting CCleaner. Detected on September 25, intrusion attempts started since May 14.Das ist eine Firma, wir erinnern uns, die euch erzählt, ihre Produkte würden in Echtzeit (!) Angriffe erkennen und abwehren. Aber in ihrem eigenen Netz kriegen sie einen laufenden Angriffe über vier Monate nicht mit.Deren Schlangenöl will man doch sofort kaufen!!1!
Na, wollt ihr auch wissen, wie sie sich aus der Nummer rausreden wollen? Na klar, ganz einfach! Erstens tun sie so, als hätten sie den Angriff abgewehrt. Das finde ich ja ein bisschen … ambitioniert formuliert, wenn der Angreifer bei ihnen im Netz war. Über Monate.
The evidence we gathered pointed to activity on MS ATA/VPN on October 1, when we re-reviewed an MS ATA alert of a malicious replication of directory services from an internal IP that belonged to our VPN address range, which had originally been dismissed as a false positive.Wie Moment, 1. Oktober? Ich dachte 25. September!1!!Ist das wie einer dieser Polizei-Witze? 50 kg Kokain beschlagnahmt. Die 40 kg beschlagnahmtes Kokain sind auf dem Weg zur Asservatenkammer. Die 30 kg beschlagnahmtes Kokain sind angekommen. Die 20 kg beschlagnahmtes Kokain wurden erfolgreich eingecheckt.
On Oct 4, we observed this activity again.Ach nee, jetzt sind wir schon am 4. Oktober! Eben war es noch der 1. und davor war es der 25. September!
Hey, pass uff, das war bestimmt Emotet! Und Avast bietet bald ein Webinar an, wie man sich schützt! Und im Übrigen: Cyber-Spionage! Nation State! Supply chain attacks!
Lacht nicht!
Global software companies are increasingly being targeted for disruptive attacks, cyber-espionage and even nation-state level sabotage, as evidenced by the many reports of data breaches and supply chain attacks over the last few years.Hey, also wenn das SO schlimm ist, dann brauchen wir mehr Schlangenöl. Wie wäre es mit Avast? Ich hörte, die haben Erfahrung mit sowas!1!!
Und die liefert auch heute zuverlässig:
Ein Signaturupdate für Endpoint Protection von Symantec hat auf Windows-Systemen einen Blue Screen of Death ausgelöst.Das ist so völlig absurd, diese Aussage, da bleibt mir die Spucke weg."Wieso ist denn der Motor explodiert?"
"Na der Postbote hat einen Brief in den Briefkasten gelegt"Es sind nicht die Signaturen, die den Bluescreen erzeugt haben, und auch nicht das Update, sondern die ranzige Gammelsoftware darunter.
Nein, sorry, nichts von der Schlangenölbranche diesmal.
Reparatur-Shop-Betreiber öffnet ein kaputtes Macbook Air und filmt sich beim Facepalmen. Money Quote:
I'm going to guess that the reason that this machine is brain dead, even though it has its primary power rails, is because … Apple.Das ist echt der Brüller, das Video. Das Produkt ist so, wie man sich das vorstellt, wenn die Marketing-Abteilung das Produktdesign übernimmt. HARR HARR HARR
Ich finde das ja ausgesprochen unterhaltsam, dass Don Alphonso mit seinem Rennrad hier in Sachen CO2-Ausstoß entspannt auf dem Moral High Ground platznehmen kann, während die Kerosin-Grünen auf ihrem Truppenübungsplatz in Verteidigungshaltung ausharren, ohne tatsächlich irgendwas zu ihren Gunsten vorbringen zu können. Da bleibt dann halt nur Vorwärtsverteidigung mit Verbalinjurien.
Update: Leserbrief dazu:
nur kurz als Info von 3 betroffenen Bauern (2 Kerpener einer aus Düren) aus den letzten Jahren (Aussage beruht auf deren Darstellung):
Die Entschädigung von Ende Gelände basiert auf dem verlorenen Material (Saatgut und GroßgeräteEinsatz), nicht auf dem entgangenen Gewinn des zerstörten "fertigen Produktes", noch auf der verlorenen Arbeitszeit.
Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren.Seid ihr auch so froh, dass uns das Schlangenöl vor Schaden bewahrt? Nicht auszudenken, was Malware sonst alles ausrichten könnte und würde! Z.B. eure Firefox-Passwortdaten kaputtmachen!!1!
Update: Dazu passend schickt mir jemand dieses tolle Reddit-Fundstück zu.
Step Up to Gen V Cyber Security.Security That Prevents Fifth-Generation Cyber Attacks.
We Are at an Inflection Point.
Hackers are exploiting the fact that most organizations rely on older generations of security.
Es ist immer wieder faszinierend, mit was für einem Noch-unter-Trump-Niveau die Schlangenölbranche arbeitet. Und trotzdem sind die noch nicht out of business. Irgendjemand kauft denen ihre "Lösungen" ab! (Danke, Alexander)
Um so großartiger ist diese unfassbare Avira-Werbung (Screenshot). Immer wenn du dich fragst, ob es noch unseriöser überhaupt geht, kommt die Schlangenölbranche und beweist es dir. (Danke, Jochen)
Keynotes sind ja eher nicht so mein Gebiet, ich mache lieber Technik oder Entertainment. Keynotes sind überhaupt eine sehr merkwürdige Art des Vortrags. Ich habe mir mal gezielt ein paar Keynotes angeguckt, um zu sehen, was da von mir erwartet wird, und das ist ein ganz eigenes Genre.
Ca ein Viertel sind so "I have a dream"-Visionen, auch partiell "We shall overcome" (hier ist ein Problem, aber wir schaffen das!1!!), die Hälfte sind so Marketing-Blablah-Geschichten und Selbstbeweihräucherung der Branche, und ein Viertel sind so "wir werden alle störben"-Doomsday-Warnungen.
Das ist alles nicht so mein Metier. Ich bin eher ein Freund von Gedankengängen mit Erkenntnisgewinn am Ende.
Wenn man sich populäre TED-Talks anguckt, dann sind die Gedankengänge von der Komplexität her immer auffällig auf Ernie-und-Bert-Niveau. Ich glaube, dass das System hat. Der Zuschauer wird nicht überfordert und kann sich bestätigen, dass er zu den oberen 50% gehört, weil er das alles schon vorher wusste. Ich habe beobachtet, dass auch immer die Vortragenden am populärsten sind, die non-threatening sind, und zwar im körperlichen wie auch im übertragenen Sinn. Wo man keine Angst haben muss, dass er Chef das sieht und sich denkt: Ich feuer meine Leute und stell lieber den ein.
Ach naja. Ich mach mir da immer viel zu viel Sorgen. Publikumsbeschimpfung geht immer. :-)
Update: Die Veranstaltung stellt sich gerade als im Wesentlichen eine Schlangenöl-Verkaufsevent heraus. Ich bin ja immer wieder fasziniert, wie die Leute "Ransomware zieht dir Geld aus der Tasche" klar unmoralisch finden, aber "Schlangenölbranche zieht dir Geld aus der Tasche" ist halt Kapitalismus.
Ein mir neuer Aspekt, der mich gerade echt flasht, ist dass die Sales-Drohnen jetzt ernsthaft mit folgender Argumentation rumlaufen: Durch die EU-Datenschutzverordnung drohen ja Strafen bis zu 4% des Jahresumsatzes. Also werden bestimmt auch die Malware-Leute anfangen, ihre Schutzgelder entsprechend hochzudrehen. Also sollten Sie das als drohenden Schaden sehen. Also müssen Sie jetzt auch soviel (oder zumindest "entsprechend mehr" Geld für unser Schlangenöl ausgeben.
Wie geil ist DAS denn?!
Update: Oh und meine Keynote lief glaube ich ganz gut. Falls jemand wissen will, worum es ging: Ich erkläre, was Externalisierung von Kosten ist (Umweltverschmutzung, Atommüll, Bankenskandal), dass das gemeinhin als unmoralisch und verwerflich gesehen wird, und stelle dann die These in den Raum, dass das Verbreiten von schlechter Software auch Externalisierung von Kosten ist. Dann erkläre ich, wie Security-Bugs auch Bugs sind, und erzähle die Anekdote, wie ich herausfand, dass Format String Bugs gefährlich sind, und in Panik meine Quellen durchging, ob ich das auch mal falsch gemacht habe. Hatte ich nicht. Weil das vor Bekanntwerden der Security-Implikationen auch schon ein Bug ist, und ich meinen Code sorgfältig geschrieben hatte. Security-Probleme sind also Pfusch, schlussfolgere ich an der Stelle.
Dann geht es mir um die Frage, wieso wir Pfusch dulden, und beobachte, dass das immer ökonomische Argumente sind. Als letzten Teil versuche ich, das ökonomische Argument für Pfusch zu demolieren. Erstens ist der Vergleich einer billigen Pfusch-Lösung mit einer ordentlichen, sicheren Lösung unlauter, weil nur die eine die Anforderungen erfüllt. Zweitens, so habe ich bisher beobachtet, kostet das gar nicht mehr, etwas ordentlich zu machen, weil einem das noch vor Produktlaunch auf die Füße fällt, wenn man bei auch nur einem der Module gepfuscht hat. Da würde ich echt gerne mal ein paar wissenschaftliche Untersuchungen zu sehen, inwieweit man das nachmessen kann. Vielleicht irre ich ja.
Update: Jahresumsatz, nicht -profit. Mach ich jedesmal falsch, weil es so ungeheuerlich ist :-)
For a period of time, the legitimate signed version of CCleaner 5.33 being distributed by Avast also contained a multi-stage malware payload that rode on top of the installation of CCleaner.CCleaner ist eine von diesen überflüssigen Beschäftigungstherapie-Produkten für hyperaktive Windows-User, die glauben, sie müssten periodisch ihre Registry aufräumen oder so.In reviewing the Version History page on the CCleaner download site, it appears that the affected version (5.33) was released on August 15, 2017. On September 12, 2017 version 5.34 was released. The version containing the malicious payload (5.33) was being distributed between these dates. This version was signed using a valid certificate that was issued to Piriform Ltd by Symantec and is valid through 10/10/2018.Einige Leute werden sich jetzt vielleicht fragen, ob da ein Schlangenöl-Hersteller seinen Absatz ankurbeln wollte. Hier ist das Presse-Statement des Herstellers. Der versucht nicht mal zu erklären, wie es soweit kommen konnte.At this stage, we don’t want to speculate how the unauthorized code appeared in the CCleaner software, where the attack originated from, how long it was being prepared and who stood behind it. The investigation is still ongoing.Oh ach so. Ihr ermittelt noch. Da na bin ich ja mal gespannt, was da rauskommt!1!!
Daher möchte ich jetzt hier mal ein Gedankenexperiment machen. Habt ihr alle verpennt, was man heutzutage alles im Internet machen kann? Lasst uns mal den ultimativen fiesen Virus brainstormen. Ich fange mal an.
Ist ja schön, dass du ein Backup hast, aber das hilft dir nicht gegen das SWAT-Team, das deine Tür eintritt. Selbst wenn du den ganzen Ärger der Reihe nach aufräumst, bist du Jahre beschäftigt. Und je nach Qualität der Arbeit der Malware den Großteil davon aus der U-Haft heraus. Oh und willkommen auf der No-Fly-List, und hier ist der Lageplan von Guantamo Bay, den wirst du möglicherweise brauchen.
Ihr müsst mal aufhören, Malware nach dem zu beurteilen, was bisher schiefgelaufen ist. Das war Glück, dass der Schaden bisher gering war. Eine (!) durchgekommene Malware ist Totalschaden.
Ihr würdet ja auch im Auto den Sitzgurt anlegen. Da muss man keinen lebensbedrohlichen Unfall erlebt zu haben, um zu verstehen, dass man sich hier ordentlich schützen muss..
Update: Und einen Punkt noch, den ich glaube ich im Blog noch nicht hatte, nur live beim Podium. Ich sage: Antiviren helfen nicht, ich setze keinen ein. Das Publikum sagt: Ja aber da kann man sich ja einen Virus einfangen.
Wir spulen eine Minute vor. Ich sage: Antiviren funktionieren nicht, weil Viren durchrutschen könnten. Das Publikum sagt: Tja 100% Sicherheit gibt es halt nicht.
Jetzt treten wir gemeinsam mal einen Meter zurück und schauen uns das an. Wieso ist das bei mir plötzlich ein Totschlag-Gegenargument, dass da vereinzelt mal was durchrutschen könnte (was ich im Übrigen auch so sehe und daher weitere Schutzmaßnahmen vorschlage), aber bei Antiviren ist das OK, wenn was durchrutscht? Anders formuliert: Wir ziehen mal auf beiden Seiten den Antivirus ab. Übrig bleibt bei beiden: Man muss sorgfältig sein, und gelegentlich könnte was was durchrutschen. Nur dass ihr für dieses Sicherheitsniveau Geld an die Schlangenölindustrie überweist und ich nicht. Oh und gucke mal: Das war genau meine These. Antiviren kosten Geld aber schaffen kein besseres Sicherheitsniveau.
Update: Einen noch. Die Antwort der Schlangenölbranche ist bisher, was ich relativ unterhaltsam finde, relativ klar: Ja, stimmt ja, hast ja Recht, signaturbasiertes Schlangenöl ist nicht gut. Daher solltet ihr auch alle dieses andere, cloudbasierte Schlangenöl kaufen! Wenn das nicht greift, dann hätten sie auch noch Verhaltens-Heuristik-Schlangenöl. Leute, nichts davon hat die Ransomware-Epidemie aufgehalten, die im Vortrag des BKA in Form einer Exponential-Wachstums-Kurven-Folie Niederschlag fand. Die Leute da draußen haben alle Schlangenöl, und zwar nicht in allen verfügbaren Geschmacksrichtungen. Nichts davon hilft. Kann man sich ja auch selber überlegen. Wie sieht denn ein "schiebe mal das Verzeichnis hier in ein ZIP" vom Verhalten her aus? Gar nicht so viel anders wie ein Ransomware-Trojaner, gell? Tsja. Hätte uns doch nur jemand gewarnt!!1!
Days after @FSecure announced they acquired security app Little Flocker, it starts phoning home.Und zwar "home" as in "zu F-Secure". (Danke, Philipp)
Ich weiß gar nicht, was da toller ist — die verkackte Architektur, oder dass die Spezialexperten von McAfee ein halbes Jahr für einen Patch brauchen.
Zuckerberg’s Plan To Battle Fake News Sets Off “Widespread Panic” Among Big Conservative Pages*gacker*Wie, ihr wollt doch was von der Schlangenölbranche? Na gut, nehmt das hier.
It seems incredible that this bug wasn't found during testing or even on ITW documents just by chance.Mal wieder Tavis Ormandy von Google.Ein bisschen ausführlicher hat er das hier beschrieben.
Durch ein Update des Virenscanners Rising landet eine infizierte Datei auf dem System, die sich dann daran macht, den Sality-Virus weiter zu verbreiten.You had one job! (Danke, Frank)
Da hilft zuverlässig … nee, von der Schlangenölbranche habe ich heute nichts. Aber guckt doch mal dieses Video einer Flughafen-Security-Schlange an. Dann wird euch schlagartig klar, wie gut es euch gerade geht.
When you install Comodo Internet Security, in the default configuration an application called "GeekBuddy" is also installed and added to HKLM\System\CurrentControlSet\Services. GeekBuddy is a tech support application, that uses a number of questionable and shady tactics to encourage users to pay for online tech support.Mit anderen Worten: Malware!
Aber hey, man kann Trend Micro da keine Vorwürfe machen. Die betroffene Komponente ist in node.js geschrieben. Wer hätte vorher wissen können, dass das problematisch werden könnte?! NIEMAND hätte das wissen können!
Danke für die vielen Einsendunger, die auch alle bei der Schlangenölbranche ihr Glück suchen :-)
Datenreichtum für alle!
Wenn man sich anguckt, auf was für einem Niveau die da vor sich hin krautern, dann hebt das die Stimmung.
Hmm, na dann gucken wir doch mal.
Oh, schaut, McAfee liefert! *blätter* *scroll* Hmm *scroll* eine Backdoor, ja? Und da haben die die STIRN, so zu tun, als sei das ein Bug und man müsste bloß einen Patch ausliefern und dann sei alles wieder gut?! Kann mir mal jemand erklären, wieso die jetzt nicht mit Klagen ersäuft werden? Intel hat McAfee gekauft, da stehen also tiefe Taschen dahinter. Wieso werden die jetzt nicht verklagt, bis nur noch ein tiefer, rauchender Krater übrig ist? WTF?!?
Update: Also wo ich so darüber nachdenke… kann mir das mal ein Jurist erklären? Ist das nicht Betrug im strafrechtlichen Sinne? Ein Produkt, dessen vorgebliche Funktion es ist, Zugriff zu beschränken, und was dann eine Hintertür hat?
Ich möchte an der Stelle nochmal wiederholen, dass ich Malware-Attribuierung für Bullshit halte, und die ganze AV-Industrie für Schlangenölverkäufer. Aber wenn man mal unter der Annahme operiert, dass hier ein Staat eine gezielte Malware in den Bundestag eingeschleust hat, weil die wirklich dringend wissen mussten, was deutsche Abgeordnete denken, dann wäre die Ukraine ein plausibler Kandidat. Plausibler jedenfalls als die Russen, finde ich. Aber es ist und bleibt ein Gerücht, wilde Spekulation. Behandelt es auch so.
