Archiv verlassen und diese Seite im Standarddesign anzeigen : Agent Flame - der Datenschnüffler
Avalox
2012-05-28, 22:09:59
Es ist wohl ein prof. entwickelter Abhör-Trojaner aufgefallen.
Flame
http://www.wired.com/threatlevel/2012/05/flame/
http://www.spiegel.de/netzwelt/web/computerwurm-flame-von-it-experten-entdeckt-a-835604.html
Amboss
2012-05-29, 12:27:56
http://www.spiegel.de/netzwelt/web/trojaner-flame-so-arbeitet-der-virus-a-835652.html
Es ist wohl das was es ist: Ein "Terrorabwehrinstrument" der amerikanischen Geheimdienste. Ein Instrument, das nicht nur der Terrorabwehr gedient hat.
Teile davon sollen noch aus den Jahren 1995/97 stammen, aktiv ist das Ding wohl unglaublich lange, und es kann alles. 20MB hören sich nach "viel" an, viele Bits und Bytes werden da aber wohl nur der Verschleierung gedient haben, um "Suchende" auf den falschen Weg zu führen.
Daraus kann man nur eins schließen:
1. Flame ist "alt" und nur die Spitze des Eisbergs
Ein "Up to Date Win7" wurde nur durch das Besuchen einer Webseite infiziert... (Getestet durch Kaspersky)
2. Windows (+ Linux + OSx) haben "Sollbruchstellen" . Patriot Act lässt grüßen.
Die USA benutzen ihre Betriebssysteme für Industriespionage. Virenschutzprogramme und Netzwerkgefrimel können einen Geheimdienstzugriff nicht verhindern, dazu müsste man das Betriebssystem löschen.
Schlussfolgerung: Ernsthafte Staaten dürfen unter keinen Umständen amerikanische oder fremdentwickelte Software einsetzten, noch darf deren Kommunikation irgendwie übers Internet erfolgen.
Smartphones (Kamera, Gps, Mikrofon) ermöglichen die Totalüberwachung. Bunte Icons auf dem Smartphone-Display zu drücken und dadurch Datenverkehr zu unterbinden, daran glauben wohl nur totale Vollidioten.
Notebooks mit Webcam und co. stehen dem nichts nach. Der gläserne Bürger ist schon längst Realität.
Rolsch
2012-05-30, 08:04:46
Daran sieht man wieder mal, wie nützlich Heuristik, Verhaltenserkennung und schnelle Signaturupdates sind. Wird alles völlig überbewertet, die ganzen AV-Testkriterien sind komplett für die Tonne.
mAxmUrdErEr
2012-05-30, 11:00:01
Fefe bringt (wie immer) nützliche Hintergrundinfos:
http://blog.fefe.de/?ts=b13a20e4
http://blog.fefe.de/?ts=b13a38d1
http://blog.fefe.de/?ts=b13bf778
Es gibt zu der neuen "Wunder-Malware" zwei beeindruckende Zufälle, die ich mal kurz mit euch teilen möchte.
Erstens: Kaspersky hat ihr Malware-Sample von der ITU.
Zweitens: Die ITU fordert seit letzter Woche ein internationales Cyberwar-Abkommen. Äh, Cybersecurity!1!! Natürlich gänzlich ohne Einbeziehung der Zivilbevölkerung und mit Verhandlungen hinter verschlossenen Türen. Wo kämen wir da hin, wenn das Volk sich in der Presse über die Details informieren könnte!
Nun war das Volk anscheinend nicht ausreichend sensibilitisiert für die Notwendigkeit eines solchen Abkommens, daher hat die ITU offensichtlich mal ein bisschen nachgeholfen.
ENKORE
2012-05-30, 17:53:41
Daran sieht man wieder mal, wie nützlich Heuristik, Verhaltenserkennung und schnelle Signaturupdates sind. Wird alles völlig überbewertet, die ganzen AV-Testkriterien sind komplett für die Tonne.
Achja Heuristiken... schlagen nicht an, wenn man über ne Sicherheitslücke Code im Ring0 ausführt (Symantec) und Systemdateien löscht, aber wehe man benutzt OpenCL (Symantec... ho ho).
Seit es gute polymorphic engines zu kaufen gibt, bringen Signaturen auch eher weniger was... nein warte, gar nix.
GTX999
2012-06-01, 19:19:00
Daran sieht man wieder mal, wie nützlich Heuristik, Verhaltenserkennung und schnelle Signaturupdates sind. Wird alles völlig überbewertet, die ganzen AV-Testkriterien sind komplett für die Tonne.
nein - du musst eben akzeptieren das scanner/guards und andere sicherheitssoftware eine treffsicherheit von 99% hat.
bleibt also noch 1% über.
Es ist wohl ein prof. entwickelter Abhör-Trojaner aufgefallen.
wenn ich mir das so durchlese dann müsste ein guter sicherheitsadmin das erkennen können.
die daten müssen doch alle raus.
ENKORE
2012-06-01, 20:54:15
nein - du musst eben akzeptieren das scanner/guards und andere sicherheitssoftware eine treffsicherheit von 99% hat.
bleibt also noch 1% über.
wenn ich mir das so durchlese dann müsste ein guter sicherheitsadmin das erkennen können.
die daten müssen doch alle raus.Beides Falsch. 99% Treffsicherheit? Nicht im Traum...
Sicherheitsadmin? Glaubst du die legen sich mit nem Sniffer hin und beobachten den Netzwerkverkehr? Oder von den infizierten Nodes aus? Letzteres geht btw. inhärent nicht.
(del)
2012-06-02, 01:40:21
Beides Falsch. 99% Treffsicherheit? Nicht im Traum...Vor allen Dingen: Von was?
Es gibt keine Kenngröße "100%", da wir nicht mit Bestimmtheit wissen, wie hoch die Dunkelziffer an Viren, Trojanern und Rootkits ist, die durch ihre professionellen Strukturen noch nie entdeckt wurden aber möglicherweise schon längst im Umlauf sind.
100% können je nach Herkunft der Angabe eine Abdeckung von Millionen Sicherheitsrisiken bedeuten, genauso gut aber auch nur die 5 Bootviren, die CHIP und ComputerBILD in ihren Checklisten stehen haben. *clap* *clap*
Trollwarndienst
2012-06-02, 13:55:37
Smartphones (Kamera, Gps, Mikrofon) ermöglichen die Totalüberwachung. Bunte Icons auf dem Smartphone-Display zu drücken und dadurch Datenverkehr zu unterbinden, daran glauben wohl nur totale Vollidioten.
Notebooks mit Webcam und co. stehen dem nichts nach. Der gläserne Bürger ist schon längst Realität.
Um das zu vermeiden, muss man also selber ein OS für die Geräte programmieren bzw. das bestehende zurechtschnippseln?
Exxtreme
2012-06-02, 20:23:31
Daran sieht man wieder mal, wie nützlich Heuristik, Verhaltenserkennung und schnelle Signaturupdates sind. Wird alles völlig überbewertet, die ganzen AV-Testkriterien sind komplett für die Tonne.
Wenn das Ding tatsächlich von staatlichen Stellen in Auftrag gegeben wurde dann kannst du davon ausgehen, dass die Autoren Zugriff auf die Sourcecodes aller Betriebssysteme wie auch der gängigsten Antivirenprogramme hatten. Und wenn so ein Trojaner im Ring 0 läuft dann kann das Antivirenprogramm auch nicht viel ausrichten.
ENKORE
2012-06-02, 20:25:11
"Sourcecode aller Betriebssystem" Nicht schwer, Microsoft ist das einzige komplett geschlossene System. Und selbst da kriegst du noch die Debugging-DBs und vollständiger Header, damit kommt man auch schon an eine echt gute Rekonstruktion...
Exxtreme
2012-06-02, 20:44:05
"Sourcecode aller Betriebssystem" Nicht schwer, Microsoft ist das einzige komplett geschlossene System. Und selbst da kriegst du noch die Debugging-DBs und vollständiger Header, damit kommt man auch schon an eine echt gute Rekonstruktion...
Ja, aber die Sicherheitslücken um ins System zu kommen bekommt man da nicht. Das geht nur dann gut wenn man auch den Sourcecode hat. Ansonsten ist Trial & Error angesagt denn aus einer Header-Datei ist nicht wirklich ersichtlich ob die Funktion/Methode eine Angriffsfläche bietet.
Demirug
2012-06-02, 23:34:16
Ja, aber die Sicherheitslücken um ins System zu kommen bekommt man da nicht. Das geht nur dann gut wenn man auch den Sourcecode hat. Ansonsten ist Trial & Error angesagt denn aus einer Header-Datei ist nicht wirklich ersichtlich ob die Funktion/Methode eine Angriffsfläche bietet.
Wenn man die richtigen NDAs unterschreibt bekommt man Zugriff auf einen Sourcecode Server bei Microsoft.
Rolsch
2012-06-03, 14:39:38
Paar Infos von einem AV Hersteller. Klingt nicht sehr beruhigend.
http://www.heise.de/newsticker/meldung/Antivirensoftware-Keine-Chance-gegen-Stuxnet-und-Co-1589640.html
Exxtreme
2012-06-04, 13:09:54
Flame war mit Microsoft-Signaturen ausgestattet:
http://www.heise.de/newsticker/meldung/Super-Spion-Flame-trug-Microsoft-Signatur-1590335.html
Also wenn ein Angreifer Zugriff auf derartige Ressourcen hat dann gute Nacht. Sowas ist wahrscheinlich staatlich erzwungen worden, dass eine Zertifizierungsstelle das rausrückt.
http://technet.microsoft.com/en-us/security/advisory/2718704
Mal sehen was in den nächsten Tagen noch so eintrudelt.
Lokadamus
2012-06-04, 19:30:11
mmm...
Das Teil soll sich im Netzwerk als Update verteilt haben.
http://www.heise.de/newsticker/meldung/Flame-kam-angeblich-als-Windows-Update-aufs-System-1603288.html
mAxmUrdErEr
2012-06-04, 22:31:51
Bizarr. Ist das nicht dann "Game Over" für jeden, der Wert auf Sicherheit legt?
Keine halbwegs wichtige oder interessante Person kann mehr Windows verwenden, wenn es so übel aussieht.
Man stelle sich auch vor, was das für Unternehmen/Regierungsstellen in Asien bedeutet. Müssten die nicht alle sofort den Einsatz von Windows verbieten, wenn die USA potentiell die volle Kontrolle über das System haben?
Avalox
2012-06-04, 22:53:18
Bizarr. Ist das nicht dann "Game Over" für jeden, der Wert auf Sicherheit legt?
Keine halbwegs wichtige oder interessante Person kann mehr Windows verwenden, wenn es so übel aussieht.
Man stelle sich auch vor, was das für Unternehmen/Regierungsstellen in Asien bedeutet. Müssten die nicht alle sofort den Einsatz von Windows verbieten, wenn die USA potentiell die volle Kontrolle über das System haben?
Wie kommst du denn darauf? Zur Nachbildung einer Signatur wurde eine Schwachstelle des MD5 erzeugten Hashwertes genutzt. Diese Schwachstelle ist seit vielen Jahren bekannt. Da hat weder MS eine Signatur rausgerückt, noch hat MS den Trojaner verteilt. MS hat nur eine kompromittierte Technik verwendet, denn die Schwachstelle war ja schon allgemein bekannt, bevor Windows 7 überhaupt auf dem Markt war.
In Unternehmen welche was auf sich halten werden von außen nur intern evaluierte Patches weiter verteilt. Kein System holt sich dort direkt einen von MS (oder scheinbar von MS stammenden) Patch in das System.
Dort hat jemand irgendwo dann nachgeholfen, bzw. hat sich wohl jemand nicht ans Buch gehalten.
ENKORE
2012-06-04, 22:53:30
Jein.
Es gibt zwei Möglichkeiten
(1) Ein Microsoft-Trollo hat tatsächlich MD5 genommen. Das ist dumm, kann aber vorkommen. Damit ist tatsächlich dieser Angriff ganz ohne Mithilfe seitens Microsoft möglich.
(2) Microsoft hat denen das Zertifikat ausgestellt und MD5 genommen, um später genau diese Story erzählen zu können.
An die entsprechenden Zertifikate zu kommen, um (1) zu machen ist nicht schwer und ohne weiteres möglich, weil genug Trollos von großen Firmen da ein gewisses Windows-Subsystem ans Internet angebunden haben.
/e bezieht sich auf mAxmUrdErEr
vBulletin®, Copyright ©2000-2024, Jelsoft Enterprises Ltd.