Fragen? Antworten! Siehe auch: Alternativlos
Der Angriff erfolgte in der Nacht zum 30.Oktober 2023 über den Zugang, mit dem auch die Kommunen und Kreise in das Netzwerk von Südwestfalen-IT gelangen. Diese so genannte "softwarebasierte VPN-Lösung" war nur mit einem einfachen Passwort gesichert.Das ist so falsch, dass nicht mal das Gegenteil stimmt. Glücklicherweise ist der Incident-Response-Bericht öffentlich, so kann man sich selbst ein Bild machen."Die Südwestfalen-IT hat es den Angreifern sehr leicht gemacht", sagte IT-Experte Philipp Rothmann dem WDR. Üblich wäre hier eine "Multifaktor-Authentifizierung" gewesen, also eine Abfolge von mehreren Passwörtern. So aber mussten die Hacker nur lange genug verschiedene Varianten durchprobieren.
Punkt 1: Das war ein 0day! Da konnte man nichts machen!
Nope. Der Angriff war am 29. Oktober. für die Lücke gab es am 6. September einen Patch, an dem auch noch dranstand, dass das in der freien Wildbahn von Ransomware-Gangs genutzt worde. Das ist also das glatte Gegenteil von 0day.
2. ist das natürlich kein Problem, wenn jemand durch das VPN durchkommt, weil man ja die Security der Dienste dahinter so auslegt, als hingen sie mit nacktem Arsch im Internet. Das ist das Zero Trust, von dem ihr in den letzten Jahren so viel gehört habt. War hier offensichtlich nicht der Fall.
3. war der erste "Angriff" in dem CVE, dass man Accountnamen und Passwörter durchprobieren kann. Das sollte keine Rolle spielen, weil man ja extra aus dem Grund komplexe Passwörter vergibt. Und weil ein Accountname und ein Passwort noch nicht reicht, um sich dann damit auf irgendeinem Rechner zu authentisieren, nur beim VPN. Außer du warst so blöde und hast Single-Sign-On gemacht, aber das ist ja offensichtlich eine ganz furchtbare Idee, also macht das sicher keiner. Oder? ODER? Ich meine, so bekloppt kann man doch gar nicht sein, hoffe ich!
4. Mit einem gültigen Account konnte man sich dann im VPN als andere User anmelden. Sollte auch keine Auswirkungen haben, weil man ja Zero Trust macht und kein SSO hat. Außer man ist auffallend schlecht beraten und kann dann auf niemanden außer sich selber zeigen, wenn Ransomware vorbeikommt.
5. behauptet dieser "Experte" der Tagesschau, dass MFA geholfen hätte. Das ist natürlich Blödsinn. Wenn die Ransomware erst den Firmenlaptop eines Mitarbeiters kompromittiert, kann sie von dort die MFA-Anmeldung einfach mitbenutzen. MFA ist Compliance-Theater und dient hauptsächlich der Beweislastumkehr. Damit man sagen kann: Sehr her, wir hatten MFA, also war der User Schuld. Als ob der User sich Windows, Outlook und Active Directory ausgesucht hätte! Und in diesem Fall: Cisco-Produkte!
6. Ja, richtig gelesen. Active Directory. Völlig überraschend hatten die Angreifer noch am selben Tag Admin-Berechtigung im AD und haben sich dann ungestört im Netz ausgebreitet. Wie konnte das sein? Na weil niemand (auch nicht Microsoft selbst) Active Directory sicher konfiguriert kriegt.
6. Die hatten sogar multiple advanced next-gen endpoint security solutions im Einsatz, von Symantec und den Windows Defender. Hat ihnen beides nicht den Angriff vom Hals gehalten. Dabei macht Symantec explizit Werbung damit, dass sie vor 0days, Exploits und *papierraschel* Ransomware schützen! Und Defender macht sogar was mit "KI" in der Cloud!1!! Und trotzdem kamen die rein und konnten sich ungestört ausbreiten?! Das ist ja merkwürdig!1!! Ist ja fast so, als sei das bloß Schlangenöl?! Hätte uns doch nur jemand gewarnt!
Mich nervt ja vor allem, dass offenbar niemand verstanden hat, was 0day heißt. 0day heißt: Lücke dem Hersteller nicht bekannt, gibt keinen Patch und keine Warnung.
Das mit "gibt keine Warnung" ist bei Cisco natürlich immer Unfug. Wie oft soll ich denn noch vor deren Produkten warnen?!
Die versuchen hier mit 0day-Nebelkerzen die Schuld von sich abzulenken. Erfolglos. Genau niemand außer ihnen selbst trägt die Verantwortung. Immerhin hatten sie wohl Backups und haben kein Lösegeld gezahlt. Immerhin. Aber auch dann stellt sich die Frage, wieso das dann so große Auswirkungen haben konnte ("Die Arbeit dauert bis heute an"). Haben die das Szenario nie geübt?
Auch ansonsten haben die ziemlich großflächig verkackt. Laut Bericht stand das Domänen-Admin-Passwort im Klartext in der Group Policy, und zwar seit 2014.
Fallt also nicht auf Nebelkerzen mit Schlangenölgeschmack und 0day-Blablah rein.
Am Ende ist es immer dasselbe Muster. Ransomware kommt da rein, wo sie das System besser verstehen als der Betreiber. Wenn das Verständnisniveau der Betreiber also nicht so unglaublich schlecht wäre bei uns, hätten wir keine Ransomware-Problematik. (Danke, Max)
Moshen Dragon's TTPs involve the abuse of legitimate antivirus software belonging to BitDefender, Kaspersky, McAfee, Symantec, and Trend Micro to sideload ShadowPad and Talisman on compromised systems by means of a technique called DLL search order hijacking.Na sowas! Das klingt ja fast so, als würden sogenannte "Antivirus"-Produkte neue Angriffsoberflächen schaffen!!1!Meine Güte, Fefe! Das ist ja furchtbar! Hätte uns nur jemand rechtzeitig gewarnt! (Danke, Norbert)
Habt ihr schon eine Warnung gekriegt? Von auch nur einer der betroffenen Organisationen? Ich nicht.
Solarwinds ist da natürlich nicht nur Täter sondern auch Komplize bei der Beweisvernichtung, weil sie erstmal ihre Customer-Liste weggemacht und bei Google angerufen und aus dem Cache dort haben löschen lassen. Nicht mal archive.org liefert.
Ich finde das einen wichtigen Datenpunkt dazu, ob irgendeine der Meldepflichten den Betroffenen in der Praxis irgendwas bringt, oder ob das alles mal wieder bloß Verarschung ist.
Update: Wenn man einen Tag zurückgeht und viel Geduld aufbringt, kriegt man von archive.org doch noch die Kundenliste. Hier ist sie:
Acxiom, Ameritrade, AT&T;, Bellsouth Telecommunications, Best Western Intl., Blue Cross Blue Shield, Booz Allen Hamilton, Boston Consulting, Cable & Wireless, Cablecom Media AG, Cablevision, CBS, Charter Communications, Cisco, CitiFinancial, City of Nashville, City of Tampa, Clemson University, Comcast Cable, Credit Suisse, Dow Chemical, EMC Corporation, Ericsson, Ernst and Young, Faurecia, Federal Express, Federal Reserve Bank, Fibercloud, Fiserv, Ford Motor Company, Foundstone, Gartner, Gates Foundation, General Dynamics, Gillette Deutschland GmbH, GTE, H&R; Block, Harvard University, Hertz Corporation, ING Direct, IntelSat, J.D. Byrider, Johns Hopkins University, Kennedy Space Center, Kodak, Korea Telecom, Leggett and Platt, Level 3 Communications, Liz Claiborne, Lockheed Martin, Lucent, MasterCard, McDonald’s Restaurants, Microsoft, National Park Service, NCR, NEC, Nestle, New York Power Authority, New York Times, Nielsen Media Research, Nortel, Perot Systems Japan, Phillips Petroleum, Pricewaterhouse Coopers, Procter & Gamble, Sabre, Saks, San Francisco Intl. Airport, Siemens, Smart City Networks, Smith Barney, Smithsonian Institute, Sparkasse Hagen, Sprint, St. John’s University, Staples, Subaru, Supervalu, Swisscom AG, Symantec, Telecom Italia, Telenor, Texaco, The CDC, The Economist, Time Warner Cable, U.S. Air Force, University of Alaska, University of Kansas, University of Oklahoma, US Dept. Of Defense, US Postal Service, US Secret Service, Visa USA, Volvo, Williams Communications, Yahoo
Das ist aber nur eine partielle Liste. Da fehlen Kunden, die nicht genannt werden wollten.
Digicert, Digicert, wer war das noch gleich … ach ja! Die mit dem CA-Business von Symantec!
Da hat wohl jemand die Due Diligence verkackt? (Danke, Christian)
Symantec "Endpoint Protection" ermöglicht Privilege Escalation.
Dann schrieb mir ein Leser, dass die Symantec Cloud down war. Das ist lästig, wenn man seine Mail dort durchleitet. Wie das z.B. Otelo macht, schreibt der Leser.
Oder vielleicht verwendet ihr ja nicht Symantec sondern Trend Micro: Über deren Rootkit-Entferner kann man Rootkits installieren.
Eigentlich sollen Symantecs Endpoint Protection (SEP) und Symantec Endpoint Protection Manager (SEPM) Computer schützen. Aufgrund von fünf Lücken könnten Angreifer jetzt PCs attackieren.Ach komm, da packst du einfach noch eine Packung Schlangenöl vom Konkurrenten drauf! Wie hoch sind die Chancen, dass beide unsicher sind!1!!
Sicherheitslücken in Symantec Endpoint Protection.
Mit anderen Worten: Das Zeug hat die Angriffsoberfläche erhöht. Der Lacher: Gefunden hat das Trend Micro, ein Mittbewerber. Warte mal, Trend Micro? Die hatten doch gerade ein ähnliches Problem!
Meine Güte ey. Das sieht ja fast wie ein systemisches Problem aus! Hätte uns doch nur jemand gewarnt!
Aber das war noch nicht der Lacher daran.
Den Rest von ihrem Schlangenölbusiness nennen sie jetzt "NortonLifeLock". Um mal Wikipedia zu zitieren:
Eine andere Form der Blockierung von Prozessen, die wie ein Deadlock die weitere Ausführung des Programms verhindert, ist der Livelock.Der perfekte Name für deren Produktpalette! Genau mein Humor!
Aber Fefe, das ist doch Livelock mit v! Die schreiben sich mit f! Lifelock! Warte mal, Lifelock, Lifelock, das passt auch wie Arsch auf Eimer!
Und jetzt ratet mal, welcher Firmenname explizit genannt wird! Kommt ihr NIE drauf!
"We have confirmed that in addition to the known incompatibility with specific versions of Symantec Endpoint Protection, some additional software applications may be causing “Aw, Snap!” messages in the latest Chrome M78 release."Nicht doch!! Symantec?! Ich dachte, das sind die Guten!!1! (Danke, Maciej)
Ein Leser hat mal bei Sophos geguckt. Ergebnis:
Der Zugriff wurde aufgrund der Erkennung des Threats Mal/HTMLGen-A auf der Website verweigert.Und wenn man da auf mehr Details klickt, landet man hier.
Na gucken wir doch mal.
Kategorie: Viren und SpywareErste Zeile, erste Lüge. Starker Start, Sophos!
Typ: Malicious behavior.Zweite Zeile, zweite Lüge! Holla! Boris Johnson ist bestimmt stolz!
EigenschaftenÄh, nein? Tut es nicht!
Lädt Code aus dem Internet herunter.
VerbreitungsmethodeDas verbreitet sich überhaupt nicht.
- Browsing
Die offensichtliche Lösung wäre gewesen, für Fälle wie 42.zip (das da wie gesagt seit 19 Jahren unverändert liegt!) eine Whitelist anzulegen, in der unbedenkliche Fehldiagnosen landen.
Aber wieso würde eine Schlangenölfirma die Gelegenheit auslassen, "versehentlich" einen ihrer lautesten Kritiker zu schädigen?
Gestern so: "Norton Support" (nur echt mit Deppenleerzeichen) ist am Ball. Leider am falschen Ball, guckt auf die falsche Domain.
Heute so: "Norton Support" (nur echt mit Deppenleerzeichen) guckt auf die richtige Domain, kann aber leider Twitter nicht bedienen. Was machen die Damen und Herren aus dem Twitter-Support von Symantec eigentlich beruflich?
Aber kein Problem, folgen wir dem "@NortonSupport (powered by Khoros Care)". Mein Firefox begrüßt mich direkt mit einem kaputten Inline-Bild. Ihr eigenes Firmen-Logo kriegen die nicht korrekt eingeblendet. Wow. Von denen willst du doch hochkomplexe Sicherheits-Software kaufen!1!!
Inhaltlich ist das eine Kopie des Twitter-Threads aber mit längeren Inhalten. So eine Art twitlonger nur halt für Enterprise. Ich finde ja sehr unterhaltsam, dass das bei "lithium.com" liegt. Lithium wird in der Therapie gegen Depressionen eingesetzt.
Aber was sagen sie denn?
de Sie können die Seite freischalten indem Sie Ihren Blog unter den folgenden Link https://safeweb.norton.com/help/site_owners meldenAlso mit anderen Worten: Ich soll jetzt unbezahlte Arbeit in deren byzanthiner Schrott-IT aufwenden, um deren Unzulänglichkeiten zu übertünchen.
Ja, äh, nee, Symantec. Soweit kommt es ja wohl noch.
Schöne Domain haben Sie da! Wäre ja schade, wenn die nicht erreichbar wäre! Aber keine Sorge, Sie können sich freikaufen. Aus juristischen Gründen machen wir das aber mit Zwangsarbeit, nicht mit Schutzgeld.
Not gonna happen. Ich habe viel zu viel Spaß dabei, euch beim öffentlichen Demonstrieren eurer Inkompetenz zuzugucken.
Falls übrigens der eine oder andere die Hintergrundgeschichte nicht kennt, und möglicherweise annimmt, Symantec könnte vielleicht doch Recht haben: Im Jahre 2008 hatte ich das mal ausführlich erklärt. Diese Datei ist mit dem expliziten Ziel erstellt und dort hingelegt worden, Antiviren als Schlangenöl zu demaskieren. Und sie erfüllt ihren Dienst vorbildlich.
Heute so: "Norton Support" (nur echt mit dem Deppenleerzeichen!) reagiert auf Twitter auf einen meiner unautorisierten RSS-Reposter dort. Sagen, sie hätten es gefixt.
Aber wenn man auf den Link klickt, landet man bei der Norton-Statusseite zu ... einer völlig anderen Domain?! blog.fefe.de ist immer noch blockiert, obwohl die angebliche Schadsoftware auf www.fefe.de liegt und nicht auf blog.fefe.de. Und übrigens weder Schad- noch Software ist.
Wow, Symantec.
Das kann nicht einfach gewesen sein, meine Erwartungen noch zu enttäuschen. Und die waren eh nur knapp über der Nachweisgrenze.
Update: Hahaha, großartiges Timing, Symantec!
Fourth time in three months when Symantec's antivirus crashes something.
Sagt mal, ist das nicht Rufschädigung? Kennt sich da zufällig jemand aus?
Hat da vielleicht eine Verbraucherschutzorganisation Interesse?
An Iranian hacking group was itself hacked by a Russian group to spy on multiple countries, UK and US intelligence agencies have revealed.OH ACH SO war das! Und diesmal wissen wir das aber wirklich ganz genau, weil, äh, weil die Geheimdienste es gesagt haben!!1! Leider können sie uns ihre Beweise nicht zeigen. Ein Schelm, wer da vor seinem geistigen Auge Colin Powell vor der Uno sieht.
"This is getting to be a very crowded space," explained Paul Chichester, director of operations for the NCSC, the protective arm of the intelligence agency GCHQ. "protective arm". HAHAHAHA, ja nee, klar!A report of Turla compromising another espionage group was made by the private security company Symantec in June.Und so stapeln sie sich aus Märchen und Legenden einen Turm der Fake-"Erkenntnis" zusammen. So ungefähr muss sich die Alchemie- und Hexenforschung angefühlt haben. Der ehrenwerte Herr Magister Soundso hat herausgefunden, dass Hexen bei Mondlicht besser cybern können, daher greifen wir immer gegen Mittag an, wenn die Sonne hoch im Himmel steht!1!!Update: In der Original-Pressemitteilung des NCSC taucht dann dieser bemerkenswerte Satz auf:
“We want to send a clear message that even when cyber actors seek to mask their identity, our capabilities will ultimately identify them.
Das ist des Pudels Kern. Ignoriert den Rest. das ist alles, was sie hier sagen wollen. Glaubt nicht dem Fefe, sagen sie, wir sind sooooo großartig, uns gelingt auch die Quadratur des Kreises, das Entwickeln sicherer Software, Reisen mit Überlichtgeschwindigkeit und Cyber-Attribuierung!1!!
Ich behaupte selbstredend das Gegenteil. (Danke, Frederik)
Und die liefert auch heute zuverlässig:
Ein Signaturupdate für Endpoint Protection von Symantec hat auf Windows-Systemen einen Blue Screen of Death ausgelöst.Das ist so völlig absurd, diese Aussage, da bleibt mir die Spucke weg."Wieso ist denn der Motor explodiert?"
"Na der Postbote hat einen Brief in den Briefkasten gelegt"Es sind nicht die Signaturen, die den Bluescreen erzeugt haben, und auch nicht das Update, sondern die ranzige Gammelsoftware darunter.
Heute so: Kaspersky-Schlangenöl injected Javascript-Nachladen von ihren Servern in Russland in alle Webseiten.
Der Admin dieser Server sieht damit alle URLs aller User, inklusive URL-Parametern (mit denen bei SSL-Seiten wie Online-Banking gerne weniger besorgt umgegangen wird, weil das ja hinter SSL ist, und SSL soll uns ja gerade davor schützen, dass das auslesbar ist). Ist auch normalerweise nicht auslesbar, außer man hat ein Schlangenöl installiert, das das SSL rechnerweit unsicher macht. Wie bei Kaspersky.
Microsoft and Symantec have identified an issue that occurs when a device is running any Symantec or Norton antivirus program and installs updates for Windows that are signed with SHA-2 certificates only. The Windows updates are blocked or deleted by the antivirus program during installation, which may then cause Windows to stop working or fail to start.Mit anderen Worten: Norton kann SHA-2 nicht und lässt nur Updates mit alten und bekannt kaputten Hash-Verfahren durch. Wegen der Sicherheit, nehme ich an.Noch krasser als dass Leute sowas einsetzen finde ich ja immer, dass Leute für Leistung dieses Kalibers auch noch Geld ausgegeben haben.
Ich muss bei diesen Schlangenöl-Hersteller-Behauptungen über "APT" und Malware-Attribuierung immer an Kreml-Astrologie denken. Die machen Astrologie nicht nur mit Dingen, die sie nicht wissen, sondern auf der Ableitung von etwas, das sie nicht wissen.
Letztlich ist es ja auch egal, welcher Geheimdienst jetzt welche Lücke hatte. Wichtig ist, dass Geheimdienste die Lücken für Angriffe nutzen und nicht dem Hersteller melden und damit die Sicherheit der gesamten IT-Infrastruktur kompromittieren.
Hätte uns doch nur jemand frühzeitig gewarnt!!1!
Jaja, ich weiß, über Symantec lachen ist wie behinderte Kinder treten. Wen das stört, klickt halt nicht drauf.
- The attackers used more generally available malware and “living off the land” tools, such as administration tools like PowerShell, PsExec, and Bitsadmin, which may be part of a strategy to make attribution more difficult. The Phishery toolkit became available on Github in 2016, and a tool used by the group—Screenutil—also appears to use some code from CodeProject.
- The attackers also did not use any zero days. As with the group’s use of publicly available tools, this could be an attempt to deliberately thwart attribution, or it could indicate a lack of resources.
- Some code strings in the malware were in Russian. However, some were also in French, which indicates that one of these languages may be a false flag.
Wieso ist eigentlich nur eine der Sprachen ein False Flag, wenn man zwei findet?
Ihr seid eine CA. Keine sonderlich seriöse CA; eine, die Kunden anbietet, auch den Private Key bei euch aufm Server zu generieren. Niemand, der klar bei Verstand ist, würde diese Option wählen. Wer sowas anbietet, nutzt damit also offensichtlich die Unkenntnis seiner Kunden aus.
Aber ihr seid eine CA, und ihr seid Reseller für Symantec. Symantec verkackt so dermaßen vollständig, dass sie bei Google rausfliegen. Ihr wollt also von der CA mit dem schlechtesten Ruf zur nächsten wechseln, zu Comodo. Comodo waren die, die Let's Encrypt über Markenrechtstricks vom Markt zu schummeln versucht haben. Die hier. Die hier. Die wurden mal nach einem Zertifikat für www.sb gefragt und haben ein Zertifikat für sb ausgestellt (ja, die TLD!). Die hier. Die Liste ist noch länger, ich breche mal aus Platzgründen ab. Um Comodo geht es ja hier auch gar nicht.
Ihr hängt jetzt also in einem Vertrag mit Symantec, und Symantec fliegt bei Google raus, verkauft ihr totes CA-"Business" an einen Laden namens DigiCert.
Ihr würdet jetzt gerne die Zertifikate alle zurückrufen, damit ihr den Kunden richtige Zertifikate verkaufen könnt. Ihr schickt also eine Mail an DigiCert. DigiCert antwortet: Nein, das könnt ihr nicht, das können nur eure Kunden.
Und ab hier wird es richtig geil. Die CA, die ihr euch vorstellt, heißt Trustico. DigiCert hat Trustico gesagt, sie würden die Zertifikate nur mass-revoken, wenn es Beweise für einen Security Incident gäbe. Und Trustico sagt daraufhin: Hold my beer! Und schickt (sagt DigiCert) eine Mail mit 23k Private Keys ihrer "generiert ihr mal den Key für mich"-Kunden an DigiCert. DigiCert muss daraufhin die ganzen Zertifikate zurückrufen.
Der Hammer ist, dass Trustico die Private Keys überhaupt hatte. Wie krass ist DAS denn!? Damit hat sich Trustico auch die restlichen Krusten ihres Rufes als CA gänzlich ruiniert. WTF?! Die haben die Keys aufgehoben!?!? OMFG!
Stellt euch mal vor, die hätten eine Command Injection irgendwo? Vielleicht gar noch als root?! Da wären ja alle Zertifikate weg!1!!
Also technisch jetzt. Von ihrem Geschäftsgebaren und ihren Preisen her waren die schon immer nicht satisfaktionsfähig. Aber immerhin haben sie sich technisch keine solchen Blößen gegeben.
Bei allem Lachen über die offensichtlich unzureichende Codequalität bei Symantec: Ich wundere mich ehrlich gesagt schon die ganze Zeit, wieso irgendein Anbieter von Closed Source-Software jemals seinen Quellcode irgendwelchen Regierungen gezeigt hat. Wenn so eine Anfrage reinkommt, würde ich ja knallhart "No, fuck YOU" sagen. WTF? Ihr wollt also meinen Quellcode sehen, sonst kauft ihr es nicht? Na dann go fuck yourself! Wieso für Regierungen irgendwelche Ausnahmen machen?
Ich meine mal ehrlich, was glauben die denn, was passiert, wenn man Regierungen den Quellcode zeigt? Im besten Fall gucken ein paar Spezialisten drüber und melden kostenlos ein paar Bugs. Im zu erwartenden Fall gucken da ein paar inkompetente Sesselfurzer drüber und finden gar nichts, und im Hintergrund geben sie den Quellcode an die Geheimdienste weiter, die dir ganz sicher keine einzige der gefundenen Lücken melden würden.
Aber was weiß ich schon. Ich mach ja Open Source. Aus meiner Sicht ist es grotesk, wenn man die Sicherheit eines Systems darauf beruhen lässt, dass keiner weiß, wie es funktioniert. Deutlicher kann man "wir trauen unserem eigenen Scheiß nicht" nicht ansagen.
For a period of time, the legitimate signed version of CCleaner 5.33 being distributed by Avast also contained a multi-stage malware payload that rode on top of the installation of CCleaner.CCleaner ist eine von diesen überflüssigen Beschäftigungstherapie-Produkten für hyperaktive Windows-User, die glauben, sie müssten periodisch ihre Registry aufräumen oder so.In reviewing the Version History page on the CCleaner download site, it appears that the affected version (5.33) was released on August 15, 2017. On September 12, 2017 version 5.34 was released. The version containing the malicious payload (5.33) was being distributed between these dates. This version was signed using a valid certificate that was issued to Piriform Ltd by Symantec and is valid through 10/10/2018.Einige Leute werden sich jetzt vielleicht fragen, ob da ein Schlangenöl-Hersteller seinen Absatz ankurbeln wollte. Hier ist das Presse-Statement des Herstellers. Der versucht nicht mal zu erklären, wie es soweit kommen konnte.At this stage, we don’t want to speculate how the unauthorized code appeared in the CCleaner software, where the attack originated from, how long it was being prepared and who stood behind it. The investigation is still ongoing.Oh ach so. Ihr ermittelt noch. Da na bin ich ja mal gespannt, was da rauskommt!1!!
Symantec has now announced the sale of its PKI business, for “US$950 million in upfront cash proceeds and approximately a 30 percent stake in the common stock equity of the DigiCert business at the closing of the transaction.” (Danke, Conrad)
Wenn jemand z.B. bei github versehentlich seinen Private Key hochlädt, dann ist die Idee, dass man das der CA meldet, und die ruft dann ihr Zertifikat für den Public Key zurück. Das ist nicht optional, dazu haben sich alle CAs verpflichtet, und zwar sogar mit richtig knappen Fristen.
Hanno hat jetzt einfach mal geguckt, ob die auch eine Revocation machen, wenn der Private Key gar nicht passt.
Er hat das bei Symantec probiert.
Natürlich machen sie es! Wir reden hier von Symantec!
Symantec versucht gerade diskret, ihr CA-Business loszuwerden.
Danke, Mozilla.
Dass ich DAS noch erleben darf!
“The zip file was sent with a highly personalized message which shows the hackers have very detailed insight into the panel’s current investigations structure and working methods,” read the email, which was sent on 8 May.Srsly? Spear phishing? Das funktioniert immer noch gegen euch Idioten?! Mann Mann Mann.Ach ja, hinter der Nordkorea-Wannacry-"Verbindung" stecken übrigens die Spezialexperten von Symantec. Ihr wisst schon, die, die bei der New York Times für Security zuständig waren, als die New York Times von den Chinesen gehackt wurde.
Ein besonderes Hassobjekt war für mich immer Network Solutions, die ursprünglichen Domain-Monopolisten, die dann fett ihre Monopolstellung missbraucht haben, um Mondpreise für Nullleistung zu fordern.
Auf Platz 2 war immer Verisign, die ursprünglichen X.509-Zertifikats-Monopolisten, die dann fett ihre Monopolstellung missbraucht haben, um Mondpreise für Nullleistung zu fordern.
Eines Tages hat Verisign dann Network Solutions gekauft, das hat meine Hassliste deutlich vereinfacht.
Auf Platz 2 rückte Symantec nach. Schon mit ihren eigenen Produkten haben die bei mir noch nie Sympathiepunkte gewinnen können, aber die haben halt auch links und rechts andere fiese Firmen aufgekauft, u.a. eines Tages Verisign.
Das hat meine Liste wieder stark vereinfacht.
Und so ist es mir eine große Genugtuung, heute auf diese Meldung verlinken zu können, dass Google einmal den großen "so jetzt reicht's"-Hammer rausgeholt und auf Symantec draufgeklatscht hat. Und es ist Balsam auf meine Seele, wie Symantec reagiert:
In einem Statement führt Symantec aus, dass Googles aktuelle Reaktion für sie unerwartet kam. Zudem stufen sie die geplante Aktionen als verantwortungslos ein.Oooooooh ihr armen Symantecler, habt ihr jetzt beim Geldsackzählen in eurem Geldspeicher Nachschubstocken? Lange empfand ich nicht mehr so viel Mitleid für jemanden in Not!1!!
Good riddance.
Bluecoat ist die Firma, die Abhör-Proxyserver für die Gestapos der Unterdrückungsregimes dieser Welt baut.
Leider haben die Browser im Allgemeinen kein UI, um Intermediate Certs zu invalidieren. Man müsste also das Verisign-Root-Cert rausschmeißen.
Oder halt sowas wie Certificate Patrol ausrollen. Aber das macht ja seit Letsencrypt nur Ärger.
Update: Bei diesem konkreten Zertifikat ist die Pathlen auf 0 gesetzt. Das entschärft es weitgehend (keine Sub-CAs erlaubt). Die müssten den privaten Schlüssel zu dem Zertifikat auf ihren Appliances ausliefern, wo er geklaut werden könnte. Wobei hey, vielleicht tun sie das ja?
Nun, dann solltet ihr euch mal diese Webseite hier durchlesen. Und dann könnt ihr euch amüsieren, dass die natürlich auch in den USA gehostet ist und damit unter diese Regelungen fallen würde.
Update: Google steht da nicht. Wer's gemerkt hat, kann sich 10 Medienkompetenzpunkte gutschreiben.
Oh, was sagt ihr, das steht da nicht, dass Google das gefunden hat? Bei Symantec klingt das eher so, als habe Symantec das selbst gefunden? Tsja. Hier ist Googles Statement dazu. Voll vertrauenswürdig, diese Symantec-Leute! Da kauf ich doch ab jetzt mein Schlangenöl!
Und so wird dann ein Schuh aus der Sache, denn das kommt jetzt nicht von den anderen Herstellern, die Story, sondern von "Ex-Kaspersky-Mitarbeitern", d.h. von Kaspersky selbst. Für mich sieht das aus wie eine als Pseudo-Kontroverse getarnte PR-Nummer von Kaspersky, um sich selbst als einzigen Marktteilnehmer darzustellen, der noch ordentlich prüft. Glaubt kein Wort von sowas. Schlangenöl ist Schlangenöl.
Im Übrigen basiert die ganze Branche auf geheimen Insider-Malware-Börsen, und die Hersteller tauschen alle ihre Malware-Samples aus. Ich bin da kein Insider, insofern weiß ich nicht, wie weit die Automatisierung der Signaturgenerierung ist. Was ich vor ein paar Jahren mal gesehen habe, ist dass das "manuell" gemacht wurde, allerdings mit massivem Tool-Aufgebot. Viel tatsächlich manuelle Arbeit war da nicht beteiligt, aber völlig automatisiert war es auch noch nicht. Wenn man die Tools der Konkurrenz beobachtet, kann man diesen Vorgang möglicherweise aus der Ferne reversen und so trojanische Signaturen unterjubeln.
Aber mal ehrlich, der ganze Ansatz mit den Signaturen ist für den Arsch. Dieses Geplänkel hin oder her, wer sich Software verkaufen lässt, die Viren fernhalten soll, hat es auch nicht besser verdient.
Update: Laut dieses Vortrages von 2013 von Microsoft scheint genau das passiert zu sein.
Ich habe mir die ganze Nummer eigentlich sparen wollen, weil das so nach Hetzjagd aussah, und man von außen immer schlecht beurteilen kann, wer da jetzt mit Scheiße wirft und wer eine legitime Position vertritt.
Aber dann dachte ich mir: Hey, das ist unfair, zu Brandan Eich hab ich ja auch was gesagt, und da waren die Umstände ja auch irgendwie ähnlich.
Daher schreibe ich mal, wie das bei mir angekommen ist.
Erstmal: Ich wusste gar nicht, dass Ellen Pao überhaupt Chefin von Reddit ist. Alles, was ich mit ihr assoziierte, war dieses Gerichtsverfahren gegen Kleiner Perkins.
Also erstmal: Frau Pao hat hat einen Elektrotechnik-Bachelor von Princeton, einen Jura-Doktor von Harvard und einen MBA von Harvard Business School. Das ist geradezu unfassbar, denn mit so einem Feuerwerk an Ivy League-Abschlüssen sind sicher höhere sechsstellige Kosten verbunden. Das ist ein kleines Wunder, dass sich eine chinesische Frau das leisten konnte. Vielleicht kommt sie aus einer reichen Familie? Das ist jedenfalls ein außerordentlicher Privilegierten-Status, den sie da genießt.
Kleiner Perkins ist eine relativ bekannte VC-Bude. Ich habe eine eher geringe Meinung von VC-Buden, seit ich mal bei einem frühen Arbeitgeber von mir gesehen habe, wie die so operieren. Aber egal, mit Kleiner Perkins hatte ich noch nichts zu tun, ich habe die aber recht negativ eingestuft, weil mir dieses ganze Startup-Gehabe in den USA eh gewaltig auf den Sack geht. Die haben da geradezu eine Religion geschaffen, die diesen amerikanischen Self Improvement und Self Help und American Dream Kult mit der Kapitalismus-Religion zu einer neuen Sekte, dem Startup-Wahn verbindet. Kleiner Perkins ist m.W. eine der größeren VC-Buden in den USA, die haben u.a. ihre Finger bei Amazon, Citrix, Compaq, Electronic Arts, Google, Juniper, Netscape, Symantec, Verisign und Sun drin gehabt. Das ist keine kleine Klitsche, das ist ein großer Player im VC-Markt.
So, und da hat Frau Pao eines Tages angefangen, und wie in allen Sekten haben sie ihr den gleichen Bullshit erzählt, den sie auch Startups erzählen: Die Chancen betont, die Risiken nicht erwähnt. Sie dachte daher, in ein paar Jahren ist sie da Senior Partner und macht die fette Kohle. Das geschah nicht. Nun ist natürlich Diskriminierung in den USA auf dem Papier genau so verboten wie hier, daher kommen solche Entscheidungen in keiner Firma ohne einen fetten Paper Trail zustande. Bei Kleiner Perkins gab es jährliche Evaluierungen der Arbeit der Mitarbeiter durch ihre Kollegen. Und da schnitt Frau Pao halt nie gut genug ab, um befördert zu werden.
Sie hat dann irgendwann geklagt, weil sie fand, Inkompetenz sei bei ihren männlichen Mitarbeitern noch nie ein Ausschlusskriterium für eine Beförderung gewesen, und das könne nur durch sexuelle Diskriminierung zustande gekommen sein, dass sie nicht voran kommt.
Das klang für mich legitim, denn mir sind VCs bisher auch nur als Good Old Boys Clubs begegnet, und bei einer so alten und legendären Firma wie Kleiner Perkins liegt der Verdacht nahe, dass das da auch so ist. In dem Verfahren wurde dann von allen Seiten eine Menge Dreckwäsche öffentlich gewaschen, und es endete am Ende so, dass sie verloren hat. In der Statistik, stellt sich raus, ist Kleiner Perkins sogar eher vorne mit dabei in Sachen Frauenquote. Nur ob das jetzt heißt, dass die besonders gut sind, oder dass die anderen besonders steinzeitlich sind, weiß ich nicht.
Nachdem sie dann bei Kleiner Perkins rausflog, wurde sie CEO von Reddit, die zu Conde Nast gehören. Das ist eine Verlagsgruppe, die eigentlich so Sachen wie Vogue und GQ rausbringt. Aber denen gehört halt auch Reddit.
Bei Reddit war sie nur ein paar Monate, wenn ich das richtig sehe, und dann gab es eine Revolte. Eine Mitarbeiterin von Reddit, von der, so mein Eindruck, von den Usern vorher noch keiner was gehört hatte, wurde auf der Site plötzlich als in den Rücken gedolchte Heldin positioniert, ohne die da gar nichts geht. Ihre Aufgabe war, für AMAs die Gäste zu managen — Einladung, Flug buchen, Besprechen, evtl für sie tippen, sowas. Der Großteil von Reddit wird nicht von Angestellten gemanaged, sondern von Freiwilligen, und denen hatte nicht nur niemand Bescheid gesagt, es gab da auch keinen kurzfristigen Ersatz, d.h. die konnten plötzlich ihre AMA-Planung über den Haufen werfen. Ein unschöner Management-Fuckup, und wir wissen bis heute nicht, wieso diese Frau da jetzt gefeuert wurde.
Aber die Moderatoren von diversen wichtigen Subreddits haben dann plötzlich die Foren in ihrem Einflussbereich auf Privat geschaltet, woraufhin Reddit praktisch zum Erliegen kam. Es gab einen riesigen Shitstorm, und — wenn man den Berichten auf Reddit selber glauben darf — das Management reagierte beschissenstmöglich. Der eine Gründer von Reddit postete einen dämlichen Kommentar über Popcorn, und als dann irgendein Schwachmat eine Online-Petition gemacht hat, die den Rücktritt von Ellen Pao forderte, die nach einer Nacht schon über 70000 Unterschriften hatte, hat Ellen Pao angeblich zu Protokoll gegeben, das sei ihr wurscht ("not fazed").
Und DAS war der Punkt, als ich mir dachte, OK, die muss da weg. Das ist eine völlig unakzeptable Reaktion in so einer Situation, ein PR-Anfängerfehler. Da muss man dem Gegenüber direkt in die Augen gucken, Mitgefühl heucheln und auf Zeit spielen. Ihr wisst schon, "Ihr Anruf ist uns sehr wichtig, bitte bleiben Sie in der Leitung". Hat sie nicht gemacht. Und damit hat sie in meinen Augen ihren Job verwirkt.
Aber.
Was DA für ein fieser, ekelhafter Ansturm an furchtbaren Anwürfen die Runde machte, das was echt unter aller Sau. So auf dem Niveau von: Die Frau war ja schon immer unfähig, beißt immer andere Frauen um sich herum weg, und kann nur durch Drohung mit Gerichtsverfahren vorankommen. Das war eine Hexenjagd wie damals bei Brandan Eich, nur dass der sich objektiv weniger hat zu Schulden kommen lassen. Ich finde auch die Existenz dieser Petition beschissen, und dass Leute da geklickt haben ist auch beschissen. Leute, die Ellen Pao noch nie getroffen haben, und überhaupt nicht genug über die Situation wissen, um da eine Entscheidung fällen zu können. Wir wissen auch gar nicht, ob Ellen Pao überhaupt involviert war bei dem Feuern von dieser Mitarbeiterin.
Alles in allem: Das war eine echt beschissene Situation, und dass die sozialen Medien sich immer wieder zu solchen unwürdigen Spektakeln hinreißen lassen, das ist eine Schande und die Teilnehmer sollten sich alle schämen. Und Ellen Pao sollte sich für diesen "not fazed"-Kommentar auch schämen. Das war ein Griff ins Klo.
Update: Ich habe da einen Aspekt zu erwähnen vergessen, weil ich dachte, der habe damit nichts zu tun. Ich zitiere mal aus einer Mail:
Und zwar hat Ellen Pao dafür gesorgt, dass Reddit eine neue anti-harrassment policy bekommt. Früher war ja bis auf CP so ziemlich alles bei Reddit erlaubt. Leider auch Subreddits wie /r/fatpeoplehate, wo User sich nicht nur über übergewichtige Menschen lustig machten, sondern auch andere Subreddits stürmten und die Leute dort übelst beschimpften, darunter /r/fitness, /r/loseit und /r/progresspics wo Leute sich echt bemühen was an ihrem Gewicht zu ändern. Ganz ekelhafte Geschichte. Jedenfalls hat Reddit angefangen solche Subs dicht zu machen und dann gab es einen riesen Shitstorm von wegen "muh free speech" und /r/all wurde vollgespamt mit Beiträgen, dass Ellen Pao ein Nazi wäre usw. In diesem Kontext musst du dann wohl auch Ellen Paos Aussage sehen, dass es sie nicht juckt. Es waren einfach kleine Kinder, denen Mama gesagt hat, sie dürfen andere Leute nicht beleidigen.
Dass Ellen Pao für die neue Harrassment Policy gesorgt hat, hatte ich nicht mitgeschnitten. OK, das rückt das natürlich in ein noch unappetitlicheres Licht alles. Seufz.
Update: Hrm, jetzt kommen hier lauter Mails rein, ich soll darauf hinweisen, dass ihr Mann, ein Fondsmanager, ein Schneeballsystem betrieben hat und dafür verurteilt wurde und ihre Forderung in dem Verfahren gegen Kleiner Perkins zeitlich passte und von der Höhe her ziemlich genau der Strafe ihres Mannes entsprach. Nuja. Hörensagen, finde ich. Aber jemand schreibt mir jetzt:
Pao hat aus mehreren Gründen den Hass der Userbase auf sich gezogen. Das ist nicht nur die Sache mit Victoria, das geht schon eine Weile so. Einer der Hauptkritikpunkte ist Zensur und Inkompentenz. Wurden etwa Links zu ihrem Prozess mit ihrem alten Arbeitgeber gepostet, so wurden diese gelöscht. Leute die sich negativ über Pao äußerten? Banned. Geschichten über ihren Mann (Buddy Fletcher), der als Fundsmanager ein Schneeballsystem genutzt und andere ruiniert hat? Banned. Gepostet, wie Pao versucht hat, Reddit selbst zu nutzen, und dabei völlig versagte? Banned. Viel davon wird auch pauschal als Frauenfeindlichkeit abgetan, aber Pao hat reichlich dazu beigesteuert, dass man sie als neue Zensursula zeichnet.
Naja, und es stimmt auch, dass reddit hat sich selbst jahrelang als Free Speech-Aktivisten gefeiert hat. Ist alles komplex und unschön.
Mein Punkt war auch nicht, da einige ausgewählte Antivirenhersteller an den Pranger zu stellen, sondern das als systemisches Problem der Antivirenindustrie darzustellen. Kaspersky, Symantec und F-Secure waren halt, wenn ich mich da richtig erinnere, die Firmen, die öffentliche Statements dazu abgegeben haben. Die AV-Industrie hat eine gut funktionierende Infrastruktur zum Austausch von Malware-Samples, daher kann man davon ausgehen, dass alle AV-Firmen ein Regin-Sample hatten. Das Geheimdienst-Statement kam von Fox IT.
Meine Argumentation, dass man den Schutz nicht privatwirtschaftlichen Unternehmen überlassen sollte, hatte auch eine Begründung, die wohl Platzproblemen zum Opfer fiel. Damit war nicht gemeint, dass ich die Bundesbehörden für sonderlich kompetent halte, die würden das am Ende wahrscheinlich an die Industrie outsourcen und es würden die selben Leute wie jetzt machen. Aber im Moment ist der Aufwand, den wir für die Verteidigung treiben können, dadurch gedeckelt, wieviel Geld wir für Antiviren ausgeben. Minus deren Profitmarge. Wenn der Staat das macht, kann man die Ausgaben dem Bedarf anpassen. Auch das ist eine eher optimistisch-naive Sicht auf die Dinge, das gebe ich zu. Aber mein Eindruck war, dass es bei solchen Zukunftsbetrachtungen auch eher um idealisierte Zukunftsvorstellungen geht.
"We didn't want to interfere with NSA/GCHQ operations," he told Mashable, explaining that everyone seemed to be waiting for someone else to disclose details of Regin first, not wanting to impede legitimate operations related to "global security."Na gut, Fox IT ist eine üble Trojanerbude. Wie sieht es denn mit seriösen Antivirenfirmen aus, sagen wir mal F-Secure?Mikko Hypponen, a renowned security expert and chief research officer for F-Secure, said that while they had detected some parts of Regin since 2009, they were not at liberty to discuss their discovery due to confidentiality agreements with customers who asked them not to publish details of hacks they suffered.2009!!!
Over the course of three months, attackers installed 45 pieces of custom malware. The Times — which uses antivirus products made by Symantec — found only one instance in which Symantec identified an attacker’s software as malicious and quarantined it, according to Mandiant.Zing! Symantec will sich dazu nicht äußern. Ach was, warum denn nicht?Ausgangsort für die Trojaner war die Berichterstattung der New York Times über die Korruption in der Familie von Premierminister Wen Jiabao. Die Times bemüht sich, das auf den ersten Seiten so klingen zu lassen, als hätten sie das die ganze Zeit im Griff gehabt, hätten da Experten rangezogen zur Analyse, und das sei nur so lange gelaufen, weil sie das rückverfolgen wollten. Der Eindruck geht auf den Folgeseiten weg.
From there they snooped around The Times’s systems for at least two weeks before they identified the domain controller that contains user names and hashed, or scrambled, passwords for every Times employee.Und ab da ist das natürlich nicht mehr so schwierig.Investigators found evidence that the attackers cracked the passwords and used them to gain access to a number of computers. They created custom software that allowed them to search for and grab Mr. Barboza’s and Mr. Yardley’s e-mails and documents from a Times e-mail server.Das ist schon ein echter Totalschaden. Ich bewundere, wie die sich da jetzt einreden können, sie hätten das alles repariert und jetzt seien sie wieder sicher.
We also find that a typical zero-day attack lasts 312 days on average and that, after vulnerabilities are disclosed publicly, the volume of attacks exploiting them increases by up to 5 orders of magnitude.Mit anderen Worten: Antiviren funktionieren ÜBERHAUPT GAR NICHT. Ich sage das ja schon seit Jahren, aber dann kommen immer so Apologeten und erzählen was von verhaltensbasierter Malwareerkennung. Offensichtlich taugt die genau gar nichts, sonst würden die 0days nicht durchschnittlich fast ein Jahr lang unentdeckt bleiben. Lustigerweise arbeiten die beiden Autoren des Papers bei … Symantec. Hups. Da war wohl gerade der Zensor pinkeln.
Apropos Indiens Schnüffelprogamme: diese Dokumente sehen aus, als hätte Indien da Marktzugang für Schnüffelzugänge verkauft.
In diesem Fall scheint es wohl sogar tatsächlich Parallelen zu geben. Wie spannend das jetzt wirklich ist, das wird sich zeigen müssen. Mein erster Eindruck ist nicht, dass da gerade Geschichte geschrieben wird. Wer sich selber eine Meinung bilden will: Hier ist ein Whitepaper dazu von Symantec.
Oh und wo wir gerade bei Malware sind: inzwischen gibt es auch einen Kaspersky-Blogeintrag zum Staatstrojaner-Dropper. Der kursiert seit einer Weile in der Antivirusindustrie. Ein Dropper ist sowas wie ein SETUP.EXE für Viren, der Installer sozusagen. In dem Dropper kann man sehen, dass es auch ein 64-bit Kernelmodul gibt. Wir hatten uns ja darauf gefreut, dass man da womöglich eine die Quelle preisgebende Signatur dran sehen könnte, aber das ist leider nicht so. Da ist zwar ein Zertifikat dran, aber das ist nicht vertrauenswürdig und wird daher von Windows abgelehnt. Hier wäre also ein weitere Eingriff durch die installierende Behörde nötig, damit das überhaupt sauber lädt.
And one of those circumstances listed was “requests of law enforcement.”Oh und sie wollen jetzt nach Malware scannen. Wen das irritiert: Verisign wurde von Symantec gekauft. Die wollen so jetzt DIE GANZE WELT MWAHAHAHAHAHA zu ihrem Kunden machen.Update: Verisign zieht den Antrag zurück.
Update: Ich hab gehört, Symantec will sogar darüber nachdenken, Security-Produkte zu bauen!
SYMANTEC wird das jetzt ABSICHERN! HAHAHAHAHAHAHA
Wer sich wundert, wie ausgerechnet Symantec Details zu irgendwas selbständig rausgefunden haben will: keine Sorge, ihr müsst euer Weltbild nicht justieren. Mir hat ein Vögelchen geflüstert, wo "deren Analyse" des Windows-Teils tatsächlich herkam. Ich versuche gerade, denjenigen zum CCC-Congress einzuladen. Mal gucken, ob es klappt.
Ende September ist eine Konferenz der Antivirusindustrie. Das ist zwar alles Snake Oil, aber zwischen den Pfuschern und Kriminellen arbeiten auch ein paar fähige Leute, und ich gehe davon aus, dass so ungefähr jede Bude, die was auf sich hält, das für ein-zwei Papers zu Stuxnet nutzen wird. Oder zumindest hoffe ich, dass mir jemand von den dortigen Kaffeepausenplaudereien zu Stuxnet erzählt :-)
In diesem Fall kommt noch dazu, dass das Siemens-Software ist. Wer schonmal Siemens-Software benutzt hat, und ich zeige da mal diskret auf BS/2000 und SINIX, der wird wissen, wieso das kein gutes Omen ist.
Das ist also alles an sich schon ein furchtbares Wespennest. Und jetzt sehen wir, dass jemand einen Windows-0day genommen hat, um SCADA zu exploiten. Das ist sehr bedenklich, weil Windows-0day heutzutage nicht mehr unter jedem Teppich zu finden sind, sondern da hat jemand echt Geld in die Hand nehmen müssen. Und die Malware ist gezielt und richtet sich gegen SCADA, wo man dem Vernehmen nach nicht groß Exploits braucht, um da Schaden anzurichten. Das ist so die Kulmination der Horrorszenarien, mit denen der Homeland-Security-Cyberwar-Militär-Verbund immer um Kohle bettelt.
Und jetzt guckt euch mal an, wie Siemens in der Praxis Security betreibt:
Once on systems, the malware looks to use default passwords to connect to the database associated with the SCADA systems to obtain files and run various queries to collect information, Symantec noted in an advisory. Still, Siemens has reportedly advised customers not to change their default passwords, arguing it “may impact plant operations.”Das muss man sich mal auf der Zunge zergehen lassen!Oh und auch sehr besorgniserregend ist das Detail, dass die Malware signiert war, und zwar nicht nur wie initial berichtet mit Realtek-Keys, sondern auch mit einem JMicron-Key. Hier bestätigen sich also auch alle unsere Vorurteile bezüglich Fernost-Firmen und gleichzeitig unsere Ansagen, dass Code Signing keinen Sicherheitsgewinn erzeugt.
Das ist sowas von der perfekte Sturm, dass man schon fast vermuten könnte, dass da eine der US-Cyberwar-Abteilungen versehentlich einen Test-Exploit verloren hat, oder dass das ein Technologie-Demonstrator ist, um mehr Funding zu kriegen.
Auf der anderen Seite ist das natürlich ein perfektes Geschäftsmodell für die. Die wissen ja jetzt schon über ihre Kunden, dass die nicht gerade geistige Titanen sind, weil die sich schon Norten SnakeOil 23.0 haben andrehen lassen.
Das unglaublichste für mich ist, dass Heise nicht mit einem Wort erwähnt, dass Symantec so alle Nutzer in Echtzeit beobachten kann. WTF? War da der Chefredakteur gerade pinkeln?
Im Vorstand sitzen KPMG, PwC und Interxion, ein echtes Dream Team, wenn es um Sicherheits-Knowhow geht. Auch ansonsten die ranghöchsten IT-Security-Experten, die sie finden konnten. Ich verstehe nur nicht, wieso da Symantec nicht mitmacht. Die würden da echt zu passen. Sogar eine PR-Agentur ist dabei! Bwahahaha. Im wissenschaftlichen Beirat sitzen zwei Juristen und ein Professor aus der Verwaltung. Dann gibt es da noch einen Exekutivbeirat (was soll das eigentlich sein? Exekutiv oder Beirat?) mit lauter Politikern.
Aber halt, keine IT-Security-Lachnummer wäre perfekt ohne ein "Kompetenzzentrum", bei dem es sich offenbar um eine Vermarktungsplattform für die Mitglieder handelt. Bei "Software-Sicherheit" findet man jedenfalls einen PR-Blurb und eine Weiterleitung zu Compuware, und an die denke ich auch immer ZUERST, wenn ich an Software-Sicherheit denke! Was die DA schon geleistet haben, das weiß JEDER in der Branche!1!!
Update: siehe auch … *schenkelklopf* (einmal alles von php über openssl, zlib und pcre in alt und unsicher, und register_globals ist auch noch On)
Durch umfassende Auswertung und Planung hilft Symantec Unternehmen bei der Implementierung von optimalen Verfahren für sicheres Programmieren.Ob das die bisherigen Knowhowträger von T-Systems sind?
Symantec Secure Application Services sind weltweit verfügbar.Oh, da bin ich mir sicher, z.B. in Indien.