Fragen? Antworten! Siehe auch: Alternativlos
Woher weiß denn die US-Regierung das? Na weil Blockwarte von der Uni das Lab verpfiffen haben.
Georgia Institute of Technology (GIT), commonly referred to as Georgia Tech, and its contracting entity, Georgia Tech Research Corporation (GTRC), are being investigated following whistleblower reports from insiders Christopher Craig and Kyle Koza about alleged failures to protect controlled unclassified information (CUI).Wer ist denn dieser Whistleblower?The case was originally brought in July 2022 by Craig, who is still affiliated with Georgia Tech as the associate director of cybersecurity, and Koza, a Georgia Tech grad and former principal infosec engineer at GIT.Ah, neidische Konkurrenten, die die Forschungsmittel haben wollen. Sagt das doch gleich!Bleibt noch eine Frage: Hat diese Abteilung unser Mitgefühl verdient? Eher nicht, fürchte ich.
Dr. Emmanouil "Manos" Antonakakis runs a Georgia Tech cybersecurity lab and has attracted millions of dollars in the last few years from the US government for Department of Defense research projects like "Rhamnousia: Attributing Cyber Actors Through Tensor Decomposition and Novel Data Acquisition."Aha. Soso. Cyber-Attribuierung. Millionen von Dollar.m(
Das peinliche an dieser Theorie ist ja, dass Microsoft tatsächlich in einer einmalig guten Position ist, um so einen Angriff durchzuführen. Die haben remote code execution auf allen Endgeräten, by design. Müssten nicht mal eine Sicherheitslücke ausnutzen oder eine Malware aufspielen, der Code könnte Teil von Windows sein und niemand würde es merken.
Und wenn sie doch Malware aufspielen müssten, könnten sie es via Windows Update machen. Die Beschreibungen der Patches sind absolut wertlos und nicht vertrauenswürdig. Niemand würde merken, wenn die da Malware verteilen würden.
Oh und noch was: Nach Microsofts eigener Definition ist Windows Malware. Der Defender uninstalliert explizit Software, die Werbung anzeigt. Windows zeigt Werbung an.
Unabhängig von dieser Verschwörungstheorie ist das gerade ein Popcorn-Event vom Feinsten. Die fucking Tagesschau diskutiert jetzt offen, ob man Webex überhaupt noch trauen kann. Noch?! Keiner von euch hatte jemals Anlass für Vertrauen in Cisco-Software! Im Gegenteil!
Aber nehmen wir mal an, die Bundesregierung verbannt Webex. Was dann? Zoom? Teams?!? MWAHAHAHAHA
Auf die Meldung warte ich ja seit Jahren, dass das mal einem Cloudanbieter passiert. Money Quote:
The hosting company's statements revealed that some of the firm's servers had been infected by ransomware despite being protected by firewalls and antivirus.Ach. Sagt bloß. Das ist ja fast, als würde Schlangenöl gar nichts bringen?! Hätte uns doch nur jemand gewarnt!!
Albanian prosecutors on Wednesday asked for the house arrest of five public employees they blame for not protecting the country from a cyberattack by alleged Iranian hackers.Prosecutors said the five IT officials of the public administration department had failed to check the security of the system and update it with the most recent antivirus software.
Oh, äh, jahaaa! Die haben ... den Antivirus nicht geupdated!!1!Denn der Grund für Ransomware ist ja bekanntlich der nicht geupdatete Antivirus. Klar.
They are accused of “abuse of post,” which can attract a prison sentence of up to seven years.Bin ich ja grundsätzlich ein Freund von, die IT-Beauftragten in die Haftung zu nehmen, wenn unter ihrer Ägide Dinge verkackt wurden. Aber dann doch bitte nicht bloß den kleinen Admin sondern auch seine fünfzehn Chefs, die ihm nicht die Mittel gegeben haben, das ordentlich zu machen.
Das schöne für die Ransomwarer: Der ist ordentlich signiert und gilt als "legitim", kann daher nicht einfach geblacklistet werden.
Da wächst zusammen, was zusammen gehört! (Danke, Felix)
Moshen Dragon's TTPs involve the abuse of legitimate antivirus software belonging to BitDefender, Kaspersky, McAfee, Symantec, and Trend Micro to sideload ShadowPad and Talisman on compromised systems by means of a technique called DLL search order hijacking.Na sowas! Das klingt ja fast so, als würden sogenannte "Antivirus"-Produkte neue Angriffsoberflächen schaffen!!1!Meine Güte, Fefe! Das ist ja furchtbar! Hätte uns nur jemand rechtzeitig gewarnt! (Danke, Norbert)
Exploiting Bitdefender Antivirus: RCE from any websiteJa gut, deshalb hat man ja auch mehrere Schlangenölschichten übereinander. Damit die sich gegenseitig schützen!!1!
Viele dieser Firmen haben ja eine kostenlose Version für Privatgebrauch.
Dazu kommt, dass Schlangenöl ja alle eure SSL-Verbindungen aufbeißt und reinguckt. Wegen der Sicherheit und so.
Sag mal, Fefe, das wären doch für die Werbemafia hochgradig wertvolle Datenschätze, oder?
Bei Avast gab es einen Datenreichtum bei deren Geheimverträgen und daher wissen wir jetzt: Wo ein Trog ist, da kommen die Schweine.
They show that the Avast antivirus program installed on a person's computer collects data, and that Jumpshot repackages it into various different products that are then sold to many of the largest companies in the world.Und weil es so viele Idioten gibt, die sich Schlangenöl installieren, haben die einen enormen Hebel im Markt.Avast claims to have more than 435 million active users per month, and Jumpshot says it has data from 100 million devices.Na? Ihr habt doch sicher alle brav das Kleingedruckte gelesen, bevor ihr das weggeklickt habt, oder?Oder?
Das Argument würde natürlich viel ernster genommen, wenn es Malware gäbe, die über einen 0-day im Antivirus reingekommen ist.
Nun, … *drumroll* … die gibt es jetzt.
Hackers exploited a Trend Micro OfficeScan zero-day to plant malicious files on Mitsubishi Electric serversIch finde ja bei sowas immer, dass man nicht warten muss, bis die 0-days ausgenutzt werden. Remote Desktop und Antiviren sind beides Dinge mit viel zu viel Komplexität. Das kann praktisch gar nicht sicher sein.Benutzt ihr Wordperfect? Wem das nichts sagt: Googelt das mal. Das ist eine Textverarbeitung von früher, bevor alle nur noch bei Microsoft gekauft haben.
Habt ihr wahrscheinlich nicht. Aber der Antivirus muss einen Parser dafür haben. Könnte ja Malware drin sein. Schwupps habt ihr mehr Angriffsoberfläche. Die Schlangenöler sagen immer, wie viele Viren sie angeblich erkennen. Fragt mal euren Vertriebsbeauftragten, wieviele Dateiformate sie können. Stellt die Frage am besten so, dass es klingt, als hieltet ihr das für vorteilhaft, wenn das Ding viele Dateiformate versteht.
Der Verzicht auf unnötige Angriffsoberfläche ist die älteste Maßnahme in der IT Security. Dienste zumachen, die man nicht braucht. Ports zumachen, die man nicht braucht. IPs filtern, die nicht erreichbar sein müssen. Software deinstallieren, die nicht gebraucht wird. Schlangenöl ist die Antithese davon, und irgendwie scheint es niemand wahrzunehmen. Schlangenöl ist das Gegenteil von Security.
Update: Oh ach gucke mal, ich war ja gar nicht der einzige Rufer in der Wüste: Thierry und Sergio haben auf der Cansecwest 2008 auch was dazu vorgetragen. *winke*
Fortinet products, including FortiGate and Forticlient regularly send information to Fortinet servers (DNS: guard.fortinet.com) on - UDP ports 53, 8888 and - TCP port 80 (HTTP POST /fgdsvc) This cloud communication is used for the FortiGuard Web Filter feature (https://fortiguard.com/webfilter), FortiGuard AntiSpam feature (https://fortiguard.com/updates/antispam) and FortiGuard AntiVirus feature (https://fortiguard.com/updates/antivirus). The messages are encrypted using XOR "encryption" with a static key.
Heute so: "Norton Support" (nur echt mit dem Deppenleerzeichen!) reagiert auf Twitter auf einen meiner unautorisierten RSS-Reposter dort. Sagen, sie hätten es gefixt.
Aber wenn man auf den Link klickt, landet man bei der Norton-Statusseite zu ... einer völlig anderen Domain?! blog.fefe.de ist immer noch blockiert, obwohl die angebliche Schadsoftware auf www.fefe.de liegt und nicht auf blog.fefe.de. Und übrigens weder Schad- noch Software ist.
Wow, Symantec.
Das kann nicht einfach gewesen sein, meine Erwartungen noch zu enttäuschen. Und die waren eh nur knapp über der Nachweisgrenze.
Update: Hahaha, großartiges Timing, Symantec!
Fourth time in three months when Symantec's antivirus crashes something.
Hackers accessed the internal network of Czech cybersecurity company Avast, likely aiming for a supply chain attack targeting CCleaner. Detected on September 25, intrusion attempts started since May 14.Das ist eine Firma, wir erinnern uns, die euch erzählt, ihre Produkte würden in Echtzeit (!) Angriffe erkennen und abwehren. Aber in ihrem eigenen Netz kriegen sie einen laufenden Angriffe über vier Monate nicht mit.Deren Schlangenöl will man doch sofort kaufen!!1!
Na, wollt ihr auch wissen, wie sie sich aus der Nummer rausreden wollen? Na klar, ganz einfach! Erstens tun sie so, als hätten sie den Angriff abgewehrt. Das finde ich ja ein bisschen … ambitioniert formuliert, wenn der Angreifer bei ihnen im Netz war. Über Monate.
The evidence we gathered pointed to activity on MS ATA/VPN on October 1, when we re-reviewed an MS ATA alert of a malicious replication of directory services from an internal IP that belonged to our VPN address range, which had originally been dismissed as a false positive.Wie Moment, 1. Oktober? Ich dachte 25. September!1!!Ist das wie einer dieser Polizei-Witze? 50 kg Kokain beschlagnahmt. Die 40 kg beschlagnahmtes Kokain sind auf dem Weg zur Asservatenkammer. Die 30 kg beschlagnahmtes Kokain sind angekommen. Die 20 kg beschlagnahmtes Kokain wurden erfolgreich eingecheckt.
On Oct 4, we observed this activity again.Ach nee, jetzt sind wir schon am 4. Oktober! Eben war es noch der 1. und davor war es der 25. September!
Hey, pass uff, das war bestimmt Emotet! Und Avast bietet bald ein Webinar an, wie man sich schützt! Und im Übrigen: Cyber-Spionage! Nation State! Supply chain attacks!
Lacht nicht!
Global software companies are increasingly being targeted for disruptive attacks, cyber-espionage and even nation-state level sabotage, as evidenced by the many reports of data breaches and supply chain attacks over the last few years.Hey, also wenn das SO schlimm ist, dann brauchen wir mehr Schlangenöl. Wie wäre es mit Avast? Ich hörte, die haben Erfahrung mit sowas!1!!
Microsoft and Symantec have identified an issue that occurs when a device is running any Symantec or Norton antivirus program and installs updates for Windows that are signed with SHA-2 certificates only. The Windows updates are blocked or deleted by the antivirus program during installation, which may then cause Windows to stop working or fail to start.Mit anderen Worten: Norton kann SHA-2 nicht und lässt nur Updates mit alten und bekannt kaputten Hash-Verfahren durch. Wegen der Sicherheit, nehme ich an.Noch krasser als dass Leute sowas einsetzen finde ich ja immer, dass Leute für Leistung dieses Kalibers auch noch Geld ausgegeben haben.
By carefully analyzing the engine and model of Cylance’s AI based antivirus product, we identify a peculiar bias towards a specific game. Combining an analysis of the feature extraction process, its heavy reliance on strings, and its strong bias for this specific game, we are capable of crafting a simple and rather amusing bypass. Namely, by appending a selected list of strings to a malicious file, we are capable of changing its score significantly, avoiding detection. This method proved successful for 100% of the top 10 Malware for May 2019, and close to 90% for a larger sample of 384 malware.Nehmt KI, sagten sie! Wir sind zwar zu inkompetent, um das Problem zu lösen, aber unsere KI ist bestimmt viel schlauer! Genau sagen können wir das nicht, denn dafür müssten wir ja selbst kompetent auf dem Gebiet sein, was wir nicht sind, sonst würden wir nicht auf KI setzen. (Danke, Kristian)
Ein spezieller Passwortschutz der Antiviren-Software AVG hat den Passwortspeicher des Firefox-Browser beschädigt. Nutzer hatten deshalb zwischenzeitlich ihre Zugangsdaten verloren.Seid ihr auch so froh, dass uns das Schlangenöl vor Schaden bewahrt? Nicht auszudenken, was Malware sonst alles ausrichten könnte und würde! Z.B. eure Firefox-Passwortdaten kaputtmachen!!1!
Update: Dazu passend schickt mir jemand dieses tolle Reddit-Fundstück zu.
Erstens: Sie sagen nicht, welche Firmen das sein sollen.
Zweitens: Primärquelle ist eine Klitsche, von der noch niemand jemals gehört hat, die sich für ihre Erkenntnisse auf irgendwelche angeblichen aber nicht konkret benannten Darknet-Sites bezieht, und ihr Blog bei wix.com hostet.
Drittens: Der "Screenshot", den sie da haben, ist zensiert und auch ansonsten völlig nichtssagend.
Ich würde da nichts drauf geben, bis da mehr Substanz kommt. Abgesehen davon sind Schlangenölhersteller natürlich prinzipiell nicht vertrauenswürdig, ob sie jetzt gehackt wurden oder nicht.
In many cases, these security changes meant deep architectural changes were required to third party solutions. And most ecosystem vendors were not incented to invest heavily in their legacy apps. Some of these solutions took the unorthodox approach of modifying data structures and even instructions in the kernel in order to implement their functionality, bypassing APIs and multiprocessor locks that often caused havoc. Antivirus vendors were notorious for using this approach.In my role as the head of Microsoft security, I personally spent many years explaining to antivirus vendors why we would no longer allow them to “patch” kernel instructions and data structures in memory, why this was a security risk, and why they needed to use approved APIs going forward, that we would no longer support their legacy apps with deep hooks in the Windows kernel — the same ones that hackers were using to attack consumer systems. Our “friends”, the antivirus vendors, turned around and sued us, claiming we were blocking their livelihood and abusing our monopoly power! With friends like that, who needs enemies? They just wanted their old solutions to keep working even if that meant reducing the security of our mutual customer — the very thing they were supposed to be improving.
Nur damit ihr das auch mal von jemand anderem als immer nur mir gehört habt.
Um so großartiger ist diese unfassbare Avira-Werbung (Screenshot). Immer wenn du dich fragst, ob es noch unseriöser überhaupt geht, kommt die Schlangenölbranche und beweist es dir. (Danke, Jochen)
Neulich erst sah ich einen AV-Hersteller auf einem Podium sagen, die Idee erinnere ihn an "Impfgegner-Argumente".
Nun, die Russen haben neulich die Amis via Antivirus gehackt, und jetzt kommt raus, dass Nordkorea Südkorea über einen Antivirus gehackt hat und so Zugang zu Militärgeheimnissen der USA erlangte.
Teil von diesen Daten war übrigens der Plan Südkoreas, die Führung Nordkoreas schlicht zu meuchelmorden. Denn so macht man das in einem Rechtsstaat, der sich ans Völkerrecht hält. Man ermordet die Führung anderer Staaten!
Wisst ihr, was ich mich ja immer frage? Wieso Nordkorea eigentlich die Atombombe haben will! Die scheinen sich völlig irrational bedroht zu fühlen!1!!
A spring discovery would mean the NSA became aware of the breach just weeks before two other significant security incidents for the agency: A cryptic group known as the ShadowBrokers starting to leak alleged NSA hacking tools online and contractor Hal Martin was arrested for hoarding classified information on his home computer.*raun* *gerücht*Meine Güte, muss die US-Schlangenölindustrie eine Angst vor Kaspersky haben, dass die sich zu solchen Schmierkampagnen genötigt sehen. Au weia.
Also wenn ich Kaspersky wäre, würde ich jetzt einmal alles verklagen, was nicht bei drei auf den Bäumen ist. Wenn das keine böswillige Geschäftsschädigung ist, dann weiß ich auch nicht.
Update: Washington Post dazu.
Man könnte fast zu dem Schluss kommen, dass Schlangenöl die Angriffsoberfläche erhöht, wenn man sowas sieht!1!!
Hätte uns doch nur jemand gewarnt!
Kurzzusammenfassung: Alles umgehbar, und die AV-Hersteller versuchen das jetzt mit den üblichen "haben wir schon gefixt" kleinzureden. Als ob das irgendwas besser macht! Man stelle sich mal vor, euer Haustürschloss würde auf Zuruf auch ohne Schlüssel aufgehen, und der Hersteller würde sagen: Haben wir gefixt. Würdet ihr euch da besser fühlen? Nein, natürlich nicht! Sicherheitssoftware heißt, dass sie sicher macht. Wenn man updaten muss, hat sie nicht sicher gemacht. Ganz einfache Logik. Hallo McFly? Jemand zuhause?
Oh und noch eine peinliche Frage, die bei solchen Gelegenheiten irgendwie nie jemand stellt: Gab es das Update kostenlos für alle unsicheren Versionen vorher? Laut der Gesetzeslage in Deutschland müsste ein Antivirus mit einem Bug kostenlos vom Hersteller repariert werden. Aber irgendwie hat sich etabliert, dass man die für Reparaturen von Fehlern, für die nur sie was können, auch noch bezahlen soll. Wieso findet da eigentlich niemand was bei? Was für eine bodenlose Frechheit ist das eigentlich?
Wären wir doch nur alle von vorneherein ehrlich gewesen und hätten das als das bezeichnet, was es ist. Schlangenöl.
Dabei ist es doch völlig klar. Man muss eben Öl und Schlange der verschiedenen Produkte schön voneinandern trennen. Das sieht doch ein Blinder! (Danke, Thomas)
[antivirus software] is homeopathy for computers: This software was in contact with malware in the past, so it’ll recognize other malware in the future. $79:-)
Over the course of three months, attackers installed 45 pieces of custom malware. The Times — which uses antivirus products made by Symantec — found only one instance in which Symantec identified an attacker’s software as malicious and quarantined it, according to Mandiant.Zing! Symantec will sich dazu nicht äußern. Ach was, warum denn nicht?Ausgangsort für die Trojaner war die Berichterstattung der New York Times über die Korruption in der Familie von Premierminister Wen Jiabao. Die Times bemüht sich, das auf den ersten Seiten so klingen zu lassen, als hätten sie das die ganze Zeit im Griff gehabt, hätten da Experten rangezogen zur Analyse, und das sei nur so lange gelaufen, weil sie das rückverfolgen wollten. Der Eindruck geht auf den Folgeseiten weg.
From there they snooped around The Times’s systems for at least two weeks before they identified the domain controller that contains user names and hashed, or scrambled, passwords for every Times employee.Und ab da ist das natürlich nicht mehr so schwierig.Investigators found evidence that the attackers cracked the passwords and used them to gain access to a number of computers. They created custom software that allowed them to search for and grab Mr. Barboza’s and Mr. Yardley’s e-mails and documents from a Times e-mail server.Das ist schon ein echter Totalschaden. Ich bewundere, wie die sich da jetzt einreden können, sie hätten das alles repariert und jetzt seien sie wieder sicher.
Antivirenhersteller wissen natürlich, dass sie unseriöse Geschäftemacher sind, und kennen auch 42.zip. Warum erzähle ich das alles? Yahoo hat mit McAfee einen Deal gemacht, und wenn man bei deren Suchmaschine nach fefe sucht, kriegt man bei fefe.de ominöse Warnungen, ich würde Trojaner oder Adware verteilen.
Kennt jemand einen Anwalt, der Lust hat, an Yahoo ein Exempel zu statuieren?
[Screenshot 1, Screenshot 2] (Danke, Korbinian)
