Mitternachtshacking

Disclaimer: Achtung, enthält möglicherweise jugendgefährdende Fotos und Dateien

Ich finde das ja durchaus interessant. Da bekomme ich also (mühsam aus dem Spamordner gefischt) folgende E-Mail:

Die liebe (mir unbekannte) Maria Webber hat also eine Webseite aufgesetzt, und lädt mich ein ihre Bilder zu betrachten. Die Webseite selbst sieht so aus (Unkenntlichmachung von mir, ich weiß nämlich nicht, ob die Dame mit der Veröffentlichung des Bildes einverstanden ist oder ob das Bild irgendwo einfach geklaut wurde):

Beim Anlicken von “Andere Fotos finden Sie im Archiv” bekommt man eine Datei “photos.exe” (ZIP-File, Achtung Download auf eigene Gefahr) angeboten. Ich habe die Datei an Virus Total geschickt, um sie testen zu lassen, nachdem mein lokaler Virenscanner nichts gefunden hat. Das Ergebnis ist relativ eindeutig:

Zumindest 10 der vorgeschalteten Virenscanner kommt die Datei suspekt vor, im Allgemeinen wird ein Trojan Dropper (d.h. ein Programm, das weiteren Schadcode nachlädt) mit dem Namen PolyCrypt erkannt.

Mich beeindruckt ja der Aufwand, mit dem das Verbreiten von Schadcode inzwischen erfolgt. Früher wäre die Datei einfach als Attachment in der Mail enthalten gewesen. Heute setzen die Angreifer eigene Webseiten auf (ok, enthält nur ein Photo, aber die URL muß zumindest registriert werden), verbreiten passenden Spam und warten darauf, daß die nichtsahnenden Nutzer sich den Schadcode selbst auf den Rechner laden.

Ich bin mir sicher, das Verfahren läßt sich auch hervorragend für gezielte Social Engineering Angriffe gegen Unternehmen mißbrauchen. Einfach eine ähnlich klingende Domain registrieren, eine passende Mail gezielt an einzelne Mitarbeiter verschicken und abwarten, was passiert …

Anmerkung: AntiVir  7.06.00.05 vom 06.09.2007 erkennt den Schadcode noch nicht,  AntiVir 7.06.00.10 vom 15.09.2007 erkennt den Schadcode. Da sieht man mal wieder, wie wichtig aktuelle Virenscanner-Updates sind. Auch interessant, AntiVir sucht inzwischen nach 1071077 Virenstämmen, über 1 Million, schon krass. Vielleicht doch langsam Whitelists einführen?

Nachdem N-TV ja die Nachrichten von Sat.1 produziert, können wir vermutlich davon ausgehen, daß die N-TV Webseite auch die autoritative Nachrichtenquelle der ProSiebenSat.1 Media AG ist. Deshalb interessiert es mich durchaus, im Vergleich zur eher linken Süddeutschen Zeitung, der rechten Welt, der konservativen FAZ und der öffentlich-rechtlichen ARD, was die privaten Sender so dazu schreiben.

• Sicherheit oder Datenschutz - “Bundestrojaner” unerwünscht (05.02.2007)
• Nicht überall unzulässig - NRW darf Computer ausspähen (06.02.2007)
• Volker Jacobs kommentiert - Misstrauen gegen Schäuble (18.04.2007)
• Hintergrund - Sicherheitsgesetze seit 2001 (20.04.2007)
• “Maroder Sicherheitsapparat” - Polizei kritisiert Schäuble (20.04.2007)
• “Elektronischer Exhibitionismus” - Versäumnisse beim Datenschutz (24.04.2007)
• Internet-Daten - Speicherung kommt früher (25.04.2007)
• Online-Durchsuchungen - Geheimdienste spähen seit 2005 (25.04.2007)
• Gefährdungsbewertungen - Stufe Rot (02.07.2007)
• Online-Durchsuchungen - Schäuble will Gesetz (13.07.2007)
• “Online-Durchsuchung” - Phantomdebatte (13.07.2007)
• Diskriminierende Debatte - Schäuble fühlt sich ausgegrenzt (14.07.2007)
• “Bürger nicht verunsichern” - Schäuble denkt zu laut (15.07.2007)
• “Fehlinterpretation” - Schäuble in der Kritik (16.07.2007)
• Online-Durchsuchungen - Streit geht weiter (27.07.2007)
• Streit um Online-Durchsuchungen - Koalition will sachlichen Ton (28.07.2007)
• Rund um die Uhr überwacht - Datenspuren (06.08.2007)
• E-Mail vom Amt - Späh-Software angeblich fertig (29.08.2008)
• Bundestrojaner und Co. - Union kommt nicht weiter (31.08.2007)
• Online-Durchsuchungen - Fahndungserfolg heizt Streit an (06.09.2007)
• Online-Durchsuchung - Der gläserne Terrorist (06.09.2007)

Insgesamt kommt mir die Berichterstattung bei N-TV überraschend kompetend und kritisch daher, ganz im Gegensatz zur scheinbar seriöseren Welt. Der folgende Absatz aus dem Kommentar vom 13.07.2007 ist bezeichnend:

Würde der Regierung tatsächlich an der öffentlichen Sicherheit gelegen sein, hätte sie nicht tatenlos zugesehen, wie seit dem 11. September 2001 tausende (!) Stellen bei der Polizei gestrichen wurden. Die kosten allerdings Geld - ganz im Gegensatz zur sinnfreien und hysterischen Debatte über “gezielte Tötungen” und Online-Razzien. Das wirft letztlich die Frage auf, ob der Innenminister, der diese Debatte betreibt, sich lediglich als “harter Hund” profilieren will, oder ob bei diesem Mann, der immerhin durch einen Anschlag schwer traumatisiert und fast um seine Karriere gebracht wurde, noch mehr dahinter steckt. Beide Alternativen sind allerdings nicht gerade ermutigend.

Sehr gute Einschätzung.

Teil 4: Die Welt Online

eine Zeitung der reaktionären Springer-Presse

• BKA soll per Internet verdächtige PCs durchsuchen (09.12.2006)
• Kriminalbeamte: Internet ist „Universität des Terrors“ (05.02.2007)
• Kommentar: Auch Hackerangriffe der Polizei brauchen klare Grenzen (05.02.2007)
• Große Koalition plant den „gläsernen Computer“ (05.02.2007)
• Bundesgerichtshof verbietet heimliche Computer-Ausspähung (05.02.2007)
• Schäuble fordert Gesetzesänderung für Online-Durchsuchungen (05.02.2007)
• Länderinnenminister streiten über Online-Durchsuchung (15.02.2007)
• Zypries verärgert die Sicherheitsbehörden (15.02.2007)
• Die geheimen Methoden der Staatshacker (15.02.2007)
• Verfassungsbeschwerde gegen Online-Durchsuchungen (02.03.2007)
• Schäuble ist nicht maßlos (03.04.2007)
• Nagel stützt Schäuble: Online-Durchsuchung erlauben (07.04.2007)
• Wie viel Ãœberwachung darf es künftig sein? (18.04.2007)
• “Elektronischer Exhibitionismus” (25.04.2007)
• Schilys brisantes Vermächtnis (27.04.2007)
• Schäuble stoppt Online-Durchsuchung (28.04.2007)
• “Nicht von der Verfassung verabschieden” (07.05.2007)
• Das LKA und die falschen Online-Durchsuchungen (10.05.2007)
• Bayern dringt auf Eile bei Online-Ãœberwachungen (13.05.2007)
• “Weg vom Misstrauen gegen den Staat” (18.05.2007)
• Schäuble warnt vor Hacker-Großangriff (22.05.2007)
• Koalitionsrunde verhandelt über Online-Durchsuchung (19.06.2007)
• BKA muss auf Online-Durchsuchung verzichten (19.06.2007)
• Bundeskriminalamt muss weiter auf verdeckte Online-Durchsuchungen verzichten (20.06.2007)
• Schäuble will keine Rücksicht mehr nehmen (30.06.2007)
• Schäuble wird zum “Super-Schily” (09.07.2007)
• Ein Plädoyer für die Online-Durchsuchung (10.07.2007)
• “Online-Durchsuchungen sind unverzichtbar” (11.07.2007)
• Verfassungsschutz will Online-Zugriff (11.07.2007)
• Wolfgang Schäubles Gesetzentwurf steht (14.07.2007)
• Online-Razzia: Schäuble legt Entwurf vor (15.07.2007)
• Unermüdlicher Ãœberzeugungstäter (17.07.2007)
• Schäuble soll Gesetzesentwürfe vorlegen (17.07.2007)
• Merkel nimmt Schäuble gegen Köhler in Schutz (17.07.2007)
• Der Computer als Feind (17.07.2007)
• Zypries bremst den Innenminister (18.07.2007)
• Warum sich Wolfgang Schäuble in der Sicherheitsdebatte falsch verstanden fühlt (22.07.2007)
• Schäuble und der Datenschützer (22.07.2007)
• Abschwellender Online-Furor (24.07.2007)
• Schäuble hält an Online-Durchsuchung fest (27.07.2007)
• Union wirft Zypries gezielte Falschmeldung vor (27.07.2007)
• Koalition streitet über Online-Razzien (28.07.2007)
• Online-Razzien: Schäuble lässt Kollegin Zypries dementieren (28.07.2007)
• Beckstein sieht Zypries als Sicherheitsrisiko (28.07.2007) - genau, der Beckstein, der auf den BKA-Trojaner reingefallen ist
• So funktionieren Online-Razzien in den USA (29.07.2007)
• Ohne Richter geht bislang gar nichts (30.07.2007)
• Wie Online-Durchsuchungen funktionieren (30.07.2007)
• Online-Durchsuchung auf die brachiale Art (03.08.2007)
• Kommentar: Die SPD verschafft dem Terror Spielräume (06.08.2007)
• Datenschützer warnt vor Verlust der Privatsphäre (10.08.2007)
• Kommentar: Nehmen wir in Kauf, dass etwas passiert? (13.08.2007)
• BKA-Chef kritisiert „Angstmacher-Diskussion” (29.08.2007)
• Streit um Schäubles Pläne wird immer heftiger (30.08.2007)
• Kommentar: Die Kritiker der Elche … (30.08.2007)
• Terroristenjagd per E-Mail (30.08.2007)
• Scharfe Kritik an Schäubles Schnüffel-Plänen (30.08.2007)
• Online-Razzien auch ohne Richtererlaubnis (31.08.2007)
• Unbeirrt gegen die Terror-Gefahr (01.09.2007)

Der Springer-Verlag ist schon krass. Während alle seriösen Online-Medien in den letzten Tagen externe Experten (z.B. vom CCC) an Bord geholt haben und die Kritik am Vorgehen Schäubles von allen Seiten mit Ausnahme der CSU zunimmt, kommt kaum ein Wort der Kritik auf die Seiten des Springer-Verlags. Ich wußte ja, daß Springer unbeirrt hinter Schäuble herrollt, aber so extrem habe ich das nicht erwartet. Eigentlich sollte man die gar nicht verlinken.

Teil 2: Frankfurter Allgemeine Zeitung

• Mehr Sicherheit durch das digitale Abtasten - Biometrische Gesichtserkennung (27.10.2006)
• Antiterrordatei freigeschaltet (30.03.2007)
• Schäuble erwägt Grundgesetz-Änderung für Online Durchsuchung (05.04.2007)
• Polizei soll Zugriff auf Passfotos bekommen (12.04.2007)
• “Ohne jedes Augenmaß” - Innere Sicherheit (13.04.2007)
• Bürgerdatei - Kommentar (13.04.2007)
• Schäuble, oh - Die Unschuldsvermutung (19.04.2007)
• Schäuble: Zur Not auch gegen Unschuldige vorgehen (19.04.2007)
• Schäuble ein „Sicherheitsrisiko“? (19.04.2007)
• Der deutsche Sicherheitsminister - Wolfang Schäuble (20.04.2007) das Datum ist sicher nur Zufall
• Schäuble greift Zypries an - Streit um Sicherheitsgesetze (21.04.2007)
• Bundeswehr - Marschbefehl im Inland - Kommentar (03.07.2007)
• Partner Staat - Prof. Hassemer zum Datenschutz (05.07.2007)
• Merkel: Schäubles “Denkanstöße” sind keine konkrete Politik (09.07.2007)
• Unter Schäubles Schutz und Schirm - Kommentar (12.07.2007)
• Schäuble kritisiert “widersprüchliche” SPD (13.07.2007)
• Struck wirft Schäuble Angriff auf Rechtsstaat vor (16.07.2007)
• Köhler testet die Grenzen seines Amtes (16.07.2007)
• Präsidiale Hintergedanken (16.07.2007)
• Auf Distanz zu Köhler (17.07.2007)
• Auch Merkel will Online-Durchsuchungen (18.07.2007)
• SPD: Online-Durchsuchungen vorerst nicht ins BKA-Gesetz (24.07.2007)
• Steinmeier: Grundgesetz kein Gartenzaun (25.07.2007)
• Schäuble widerspricht Zypries- “Kein BKA-Gesetz ohne Online-Durchsuchung” (27.07.2007)
  Genug geplündert - Kommentar (26.08.2007) ok, geht mehr um China-Trojaner
• Scheitert der Bundestrojaner am Virenscanner? (27.08.2007)
• Monika Harms - “Wir müssen uns beeilen” (27.08.2007)
• Online Durchsuchung - “Zahlreiche neue Fragen” (28.08.2007)
• Auch Smartphones im Visier (28.08.2007)
• Kritik an Online-Durchsuchung mit falscher Behörden-E-Mail (30.08.2007)

Die begründete Kritik des Stern diffamiert die FAZ leider mit dem Kommentar, die Nachfolger Henry Nannens üben sich im Widerstand. Dabei hat der Stern nicht unrecht mit diesem Kommentar:

Der Innenminister: das ist der Mann, der „das Geschäft der Terroristen besorgt, indem er die freiheitliche Gesellschaft so abschnürt, dass die Freiheit stirbt“.

Update folgt.

Ich muß mir mal ein paar Links aufheben:

Teil 1: Süddeutsche Zeitung:

• Internet-Telefonie - Schweiz will Abhör-Trojaner (09.10.2006)
• Bundestrojaner im Computer - Digitaler Lauschangriff (07.12.2006)
• Schäubles Vorkrieg - Zu den Plänen des Innenministers (02.01.2007)
• Fahndung mit Bundestrojanern - Tatort Internet (24.01.2007)
• “In meinem Computer hat niemand etwas zu suchen” (24.01.2007)
• Der “Bundestrojaner” ist da - BKA warnt vor E-Mail (01.02.2007)
• Urteil des Bundesgerichtshofs - Heimliche Online-Durchsuchungen sind unzulässig (05.02.2007)
• “Den ultimativen Trojaner gibt es nicht” (01.08.2007)
• “Kommissar Trojaner” (07.08.2007)
• Ein Trojaner aus Peking - Spionage im Bundeskanzleramt (26.08.2007)
• Deutsche Tölpelei - Trojaner aus China (27.08.2007)
  
• Spion im Kühlschrank - Bundestrojaner (28.08.2007)
• Auf dem Weg zum Big-Brother-Staat - Online-Durchsuchungen (29.09.2007)
• “Maximal zehn Online-Durchsuchungen im Jahr” (29.08.2007)
• “Unverzügliche Ãœberwachung” möglich (29.08.2007)

Update:

• Von wegen unschädlich - Constanze Kurz vom CCC (29.08.2007)
• Wanze eins, Wanze zwei - Kommentar von Heribert Prantl (30.08.2007)
• Kleine Schwester für großen Bruder (30.08.2007) wenn ich bei der CSU Mitglied wäre, würde ich jetzt austreten
• Vehemente Kritik an Schäubles Schnüffelplänen (30.08.2007)

Weitere Updates folgen.

Also eigentlich will ich ja Politik weitgehend aus diesem Blog raushalten, es soll schon weiterhin um IT-Security gehen, aber manchmal überschneidet sich das einfach zu sehr. Das Bundesinnenministerium bekommt zur Zeit schließlich von allen auf den Deckel, denn weniger Kompetenz in IT-Fragen geht eigentlich kaum noch. Inzwischen sind ein paar Dokumente bekanntgeworden und von netzpolitik.org veröffentlicht, was sich das Bundesinnenministerium da so vorstellt. Ein paar Zitate will ich hier rausgreifen:

“Es gibt eine Vielzahl von Einbringungsmöglichkeiten, die nunmehr auf Tauglichkeit für den jeweiligen Einsatz überprüft und eventuell angepasst werden müssen. Grundsätzlich ist dabei die unwissentliche Mitwirkung der Zielperson notwendig, um einen Entdeckung der Maßnahme zu verhindern. Eine generelle Aussage zur genauen Einbringungsmethode ist nicht möglich […]”

Aha, die erwarten also wirklich, daß der dumme User auf ein Attachment klickt und dann den Trojaner selbst installiert. Ich dachte ja eher an verdeckt in eine Wohnung eindringen, den Rechner aufschrauben, den Trojaner auf der Platte installieren und dann heimlich wieder abhauen, also so richtig coole Stasi-Methoden. Anscheinend ist das mit dem Einsteigen in die Wohnung aber eine größere Verfassungsänderung, also muß das wohl anders passieren. Ich fürchte ja, bei Beckstein und Co. dürfte das auch klappen. Aber Politiker sollten nicht immer von ihrem beschränkten Wissen auf andere schließen.

“Die gewonnenen Ergebnisse werden so lange verschlüsselt auf dem informationstechnischen System zwischengelagert, bis eine Internetverbindung durch die Zielperson hergestellt wird. Bei aktiver Internetverbindung werden die verschlüsselten Daten auf einen von den Sicherheitsbehörden genutzten Server übertragen.”

Hihi, also wäre eine einfache Möglichkeit sich gegen den Bundestrojaner zu schützen, einfach die Festplatte zumüllen. Dann ist kein Platz für die Zwischenspeicherung. Mein DSL-Router protokolliert übrigens alle ein- und ausgehenden Verbindungen mit, die Protokolle werden auch zeitnah ausgewertet. Da fällt das auf, wenn plötzlich größere Datenmengen verschoben werden. Die rechnen echt nur mit dem dümmsten anzunehmenen User.

“Das Versenden von E-Mails unter dem Namen einer anderen Behörde wäre mit großen Risiken verbunden und könnte nur in begründeten Ausnahmefällen in Absprache mit der betroffenen Behörde zum Einsatz kommen.”

Das klingt doch super und die Tagesschau hat das schön visualisiert. Ich kommuniziere ja ab und zu digital mit Behörden. Ich lasse mir jetzt von allen schriftlich mit Vertragsstrafe versichern, daß sie mir keinen Bundestrojaner schicken und mich sofort informieren, wenn das BKA auf sie zukommt. Wäre lustig, wenn das alle Bürger so machen würden Krass ist jedoch, daß sie damit e-Government quasi komplett einstellen können. Wer vertraut denn noch so einer Regierung?

• “Grundsätzlich bestehen folgende Umgehungs/-Ãœberwindungsmöglichkeiten (Anm.: für Verschlüsselung):
  1. “Abzweigen” der Klar-Information vor bzw. nach Ver-/Entschlüsselung
  2. Verwendung von absichtlich “geschwächten” Verschlüsselungsprodukten
  3. treuhänderische Hinterlegung von kryptographischen Schlüsseln (”key escrow”)
  4. Zugriff auf im System gespeicherte oder über Tastatur eingegebene Schlüssel durch Einsatz von “Sniffer”-Software”

Sie haben aber erkannt, daß 2 und 3 zur Zeit politisch nicht durchsetzbar sind. Das erinnert mich an den SchlAG von Andreas Pfitzmann. Unbedingt lesen, sehr intelligent geschrieben.

“Ausgeschlossen werden kann, dass Daten auf dem Zielsystem durch den Einsatz der RFS manipuliert werden, da der Einsatz umfangreich und nachvollziehbar dokumentiert wird.”

Das kenne ich von anderen Softwarefirmen. Sicherheitsrisiken können natürlich komplett ausgeschlossen werden. Vielleicht lassen sie die Software von Microsoft entwickeln?

“Speziell wird sichergestellt, dass die Software nicht ohne erheblichen Aufwand dazu veranlasst werden kann, an einen anderen Server als den vom Bundeskriminalamt verwendeten zurückzumelden, und dass die Software weder von außen erkannt noch angesprochen werden kann.”

Aha.

“Die Durchführung einer Online-Durchsuchung soll ebenfalls lückenlos dokumentiert werdem. So werden die Einbringung der RFS auf den Zielrechner, jeder Remote-Zugriff auf den Zielrechner, alle Befehle für den Zielrechner und die Ãœbertragung der Daten vom Zielrechner protokolliert.”

Verstehe ich jetzt nicht. Grad eben hat das Bundesinnenministerium doch noch behauptet, daß die Software von außen weder erkannt noch angesprochen werden kann. Aber Remote-Zugriff ist doch möglich? Werden die beschlagnahmten Drogen denn nicht vernichtet sondern im BMI verbraucht? Und wie wollen die protokollieren, wenn die Festplatte z.B. voll ist? Wird dann nicht durchsucht?

“Das Bundeskriminalamt hat beim (verdeckten) Zugriff auf das informationstechnische System kein Interesse an der Kenntnisnahme etwa von Krankheitsberichten, Tagebüchern oder Liebesbriefen. Von Interesse sind vielmehr allein ermittlungsrelevante Informationen zu Terroristen und Extremisten, […]”

Terroristen und Extremisten. So wie in der Definition des StGB 129a, da fällt der CCC vermutlich jetzt auch schon drunter. Wegen organisierter Verstöße gegen StGB 202c. In wenigen Jahren sind Filesharer dann auch Extremisten, das kennen wir von anderen Beispielen wie dem Kontozugriff oder der Autobahnmaut.

“Bei der hier in Rede stehenden RFS handelt es sich nicht um eine „Spionagesoftware“, sondern um ein technisches Mittel zur Datenerhebung.”

Stimmt. Back Orifice ist auch kein Backdoor-Programm sondern ein Remote-Administrationstool. Ich frage mich ja, wenn das BMI dieses Teil auf meinem Rechner installiert und ich das finde und für einen Hackerangriff verwende, muß dann der Bundesinnenminister wegen Zugänglichmachung der “Hackingtools” nach §202c in den Knast?

“Abgesehen davon, dass das Entdeckungsrisiko als solches als gering einzustufen ist, wäre eine anschließende Manipulation im Vergleich zu anderen Möglichkeiten der Nutzung von frei verfügbarer Schadsoftware extrem aufwendig.”

Schon, aber das hat noch nie jemanden abgehalten, z.B. das iPhone freizuschalten oder die XBox zu hacken. Ein wenig naiv ist die Vorstellung der Beamten da schon.

“Die Sicherheitsbehörden und das Bundesministerium des Innern verfügen grundsätzlich über genügenden Sachverstand. [Anm.: bei der Konfiguration von Online-Durchsuchungen].”

Ha, ist das so viel Sachverstand wie bei den Chinesen-Trojanern? Die machen sich doch komplett lächerlich! Das ist ja gar nicht mehr zu fassen.

Sehr schön ist folgende Feststellung der SPD-Fraktion:

“Damit einher geht eine Umwertung der bisherigen Sicherheitspolitik. Die Sicherheitsbehörden und das BSI machen das Netz nicht sicherer, sondern im Gegenteil: Es gibt ein staatliches Interesse, „Hintertüren“ in Betriebs- und Anwendungssysteme zu nutzen oder sogar „einzubauen“. Hinzu kommt, dass wenn die deutschen Sicherheitsbehörden heimlich auf Rechner zugreifen können, dass dies dann auch Dienste anderer Staaten können.”

Da scheint jemand tatsächlich einen Teil der Problematik auf den Punkt gebracht zu haben.

Naja, warten wir ab … Sony hat sich bei sowas ähnlichem schon mal eine blutige Nase geholt.

War eigentlich klar.

Ich frage mich ja, ob man analog zur Versteigerungsplattform von WabiLabiSabi eine Plattform zum Verkauf von Viren, Trojanern und Botnetzen einrichten könnte. Oder wird das durch den § 202c illegal?

Langsam bin ich ja schon enttäuscht. Da gibt es einen neuen Virus, der versucht die Leute zu erpressen (neudeutsch Ransomware) :

Hello, your files are encrypted with RSA-4096 algorithm (http://en.wikipedia.org/wiki/RSA).
You will need at least few years to decrypt these files without our software. All your private information for last 3 months were collected and sent to us.
To decrypt your files you need to buy our software. The price is $300.

Und wenn wir berücksichtigen, daß die meisten Privatleute (und erschreckend viele Firmen) keine Backups haben, ist das eine realistische Drohung. Nur: das ist schlicht gelogen. Der Trojaner scheint eine leicht modifizierte RC4-Routine zu verwenden. Das ist jedoch im Gegensatz zu RSA ein symmetrisches Verfahren und der Schlüssel zum Verschlüsseln ist der gleiche wie zum Entschlüsseln. Wenn der Virus die Daten verschlüsselt kann folglich aus dem Virus auch der Schlüssel zur Dechiffrierung extrahiert werden. Die cleveren Jungs von Kaspersky haben das rausgefunden und ein kostenfreies Tool zum Entschlüsseln veröffentlicht. Das wären dann 300 USD gespart. Nett von Kaspersky.

Bootnote (Begriff von The Register geklaut):

Wenn ich der Virenautor wäre, würde ich jetzt Kaspersky wegen wettbewerbsfeindlichem Verhalten verklagen. Die machen einfach das Geschäftsmodell kaputt. Und außerdem ist das garantiert ein Verstoß gegen den DMCA, der so Reverse-Engineering zur Umgehung von Sicherungsmaßnahmen (und das ist die Verschlüsselung ja wohl) eindeutig verbietet.

Wollte nicht auch mal Cult of the Dead Cow Symantec verklagen, weil die Back Orifice 2000 in Norton Antivirus als Schadprogramm erkannt haben? Dabei ist das doch ein normales Remote-Admin Tool, vergleichbar mit PCAnywhere und Symantec will nur die Wettbewerber ausschalten … ich finde aber keine Quelle mehr dazu.

Das FBI hat zur Aufdeckung eines Straftäters zum ersten Mal einen Trojaner zur heimlichen Durchsuchung eines PCs eingesetzt. Das Programm CIPAV (PDF) ist ein Windowsprogramm, das an das FBI eine Liste der Programme auf einem Rechner, Registry-Informationen und Browser-Daten wie zuletzt besuchte URLs übermittelt. Im Gegensatz zum von Schäuble geforderten Bundestrojaner ist keine heimliche Durchsuchung von Dateien geplant, der FBI-Trojaner würde sogar den deutschen Anforderungen des Datenschutzes genügen.

Die Gegenmaßnahmen sind dagegen einfach: da bisher immer nur von Windows-Trojanern die Rede ist, wird es genügen einfach das Betriebssystem zu wechseln, zu Linux oder FreeBSD zum Beispiel und schon hat man vor der Schnüffellust des Innenministers erstmal Ruhe.

Die Virenhersteller sind ja meistens recht zurückhaltend, wenn es um Informationen geht, wie Programme auf Schadcode untersucht werden. Insbesondere die Analyse neuer Schadprogramme in virtuellen Umgebungen gehört zu den größeren Geheimnissen. Zum einen sollen wohl die Mitbewerber nicht allzuviel wissen, zum anderen ist es für die Autoren von Viren und anderen Schadprogrammen durchaus sinnvolk, die virtuelle Umgebung zu kennen, um das Verhalten des Programms in solchen Umgebungen zu verändern.

Umso interessanter ist es, wenn ein Virenscanner-Hersteller ein wenig aus dem Nähkästchen plaudert, wie hier Kaspersky.

Hier erfährt man beispielsweise, daß Mac OS X drei verschiedene Laufzeitumgebungen hat und die meisten Programme liegen im Mach-o Format vor. Der erlernte Wissen wird in der Analyse des IM-Worm.OSX.Leap angewendet.

Ein lesenswerter Artikel.