Mitternachtshacking

Ich habe mal angefangen, ein paar Dokumente zu sammeln, die sich mit dem § 202c beschäftigen:

• Bitkom: Leitfaden zum Umgang mit Hackertools (PDF, 523 KB)
• EICAR: IT-Sicherheit und § 202c (PDF, 226 KB)
• IT-Sicherheit und der 202c StGB (PDF, 47 KB)
• Die Überkriminalisierung der IT-Sicherheitsbranchen in Deutschland (PDF, 21 KB)

Außerdem gibt es von Dennis Jlussi, der den Eicar-Beitrag geschrieben hat noch ein paar Präsentationen zum Thema. Mehr habe ich bisher nicht gefunden. Kennt noch jemand ein paar Diplomarbeiten von angehenden Rechtsverdrehern oder so, die sich ebenfalls kompetent mit dem Thema beschäftigen?

Ich denke es ist ausreichend bewiesen, dass die Theorie, dass Virenscannerhersteller selbst Viren programmieren würden um den Absatz ihrer Programme zu fördern reiner Blödsinn ist. Es gibt genug Russische oder sonstige Gruppen, die mit Schadprogrammen gut Geld verdienen. Da braucht es keine Schadprogramme der Virenscannerhersteller mehr.

Ich frage mich allerdings, wie gut könnten Heuristiken sein und haben Virenscannerhersteller ein Interesse an 100%iger Erkennungsrate?

Eine Erkennungsrate von 100% mit Pattern ist meines Erachtens sowieso nicht möglich. So schlecht sind die Virenprogrammierer auch nicht. Wenn aber die Heuristik alles erkennen würde, würde der Kunde auf Patternupdates verzichten, die Hersteller würden weniger verkaufen.

Lohnt es sich folglich für einen Virenscannerhersteller die Heuristik schlechter zu implementieren als technisch möglich wäre, um mehr Geld mit den Patternupdates zu verdienen? Ist es für einen Hersteller deshalb ideal, wenn die Erkennungsrate so bei 98% liegt? Liegen deshalb die meisten Hersteller recht genau so um diesen Wert herum?

Von Fefe.

Hier ein paar Gründe, warum die Hausdurchsuchung und dann auch noch wegen „Gefahr im Verzug“ völlig sinnlos ist:

1. Wikileaks betreibt Server im Internet. Wem die Domain tatsächlich gehört, spielt dabei im Grunde gar keine Rolle. Der Eigentümer einer Domain hat die Server-Daten normalerweise auch nicht zuhause liegen. Und wenn, dann sind sie verschlüsselt. Alleine deshalb wird die Durchsuchung sinnlos sein.
2. Wikileaks veröffentlicht Informationen, sie löschen keine, wie Fefe schreibt. Und ich bin sicher, die Informanten von Wikileaks sind schlau genug ihre Informationen anonym zu schicken. Da gibt es keine Rückschlüsse auf die Informanten.
3. Als Begründung für die Hausdurchsuchung müssen scheinbar die Zensurlisten aus Dänemark oder Australien herhalten. Da ist keine Gefahr im Verzug, die Listen sind auf hunderten Servern gespiegelt.

Das ist eine so offensichtlich illegale Hausdurchsuchung und damit ein Verstoß gegen elementare Grundrechte (Art. 13 GG), da ist ein „Versehen“ des Untersuchungsrichters nicht mehr denkbar. Das hat andere Gründe. Erinnert ihr euch noch an den TOR-Exit-Node Betreiber, der durchsucht worden ist und daraufhin den Betrieb des Nodes eingestellt hat?

Gerade die Zensurdiskussion der letzten Wochen und Monate hat gezeigt, dass die geplanten Maßnahmen zum Filtern des Internets ihr Ziel nicht erreichen können. Die Verbreitung von Kinderpornographie lässt sich so nicht eindämmen. Ganz im Gegenteil stehen viele der in Skandinavien gesperrten Server in Deutschland und können unbehelligt von der Polizei ihr Schmutzmaterial vertreiben. Ich wette deshalb ein Snickers, dass die Hausdurchsuchung lediglich den Zweck hat, Repressionen zu erzeugen und die freie Meinungsäußerung in Deutschland zu unterdrücken.

Und das traurige ist, es gibt praktisch keine rechtliche Handhabe, diesen Verfassungsbrechern im Staatsamt das Handwerk zu legen.

Ich habe wieder ein paar Termine auf meinem Security Kalender 2009 nachgetragen. Falls jemand weitere Security Konferenzen (bitte nur in Europa) oder konkrete Termine kennt, bitte mitteilen.

Weil wir gerade beim Virenscanner sind … Trend Micro hat Mitte letzten Jahres mal angekündigt, die Virus Bulletin VB100 Zertifizierung nicht mehr mitmachen zu wollen.

Weiß zufällig jemand, ob andere Hersteller dem gefolgt sind oder ob Trend Micro reuig zur Zertifizierung zurückgekommen ist?

Manchmal finde ich F-Secure peinlich.

Eigentlich hat F-Secure einen ganz guten Virenscanner. Ich setze den selbst auf meinen Terminalservern und Firmenclients ein, der Virenschutz ist schnell und braucht wenig Ressourcen, die Erkennungsrate ist gut und insgesamt lässt sich die ganze Suite auch einfach konfigurieren. Aber es gibt bei F-Secure Sachen die einfach schrecklich sind.

Die Süddeutsche Zeitung hat unter dem Titel „Alt und gefährlich“ einen Artikel veröffentlicht, der sich mit der Problematik veralteter und damit angreifbarer Software auf einem Rechner beschäftigt. Das ist ein bekanntes Problem und beispielsweise Secunia hat mit dem PSI (für Privatanwender) und CSI (für Firmen) ein recht nützliches Tool entwickelt, das aufzeigt welche veralteten und angreifbaren Programme sich noch auf einem Rechner befinden. Ich wünsche mir eigentlich schon seit längerem so eine Funktion integriert in einen Virenscanner. F-Secure ist nun auf diesen Zug aufgesprungen. Leider.

Der Link der Süddeutschen Zeitung verweist auf den F-Secure Health Check. Wenn man diese Seite mit abgeschaltetem Javascript oder ohne Flash betritt, bekommt man nur den lapidaren Hinweis: „Get Adobe Flash Player“. So etwas geht gar nicht. Der Flash Player ist eine der vielen Anwendungen, die oft veraltet auf Systemen rumliegen und leicht angegriffen werden können. Gerade bei einem Angebot, das mich vor veralteter Software schützen sollte, darf ich nicht schlimmstenfalls gezwungen werden, noch extra Software installieren zu müssen. Davon abgesehen, welcher Webseitenbetreiber ist denn so daneben, eine Webseite ausschließlich in Flash zu gestalten (ausgenommen natürlich derBauer)?

Das einzige, was diese völlig unnütze Flash-Seite übrigens macht, ist auf eine andere F-Secure Seite weiterzuleiten. Und hier wird es dann völlig peinlich. Diese Seite funktioniert auch nur mit Javascript. Und meldet meinem Browser dann lapidar: „F-Secure Health Check requires Microsoft Internet Explorer 6 or later“, sogar mit Copyright- und Trademark-Hinweis. Der F-Secure Health Check ist nämlich ein ActiveX-Control und läuft natürlich nicht in Firefox.

Hallo F-Secure! Aufwachen!

1. ActiveX ist die kaputteste Variante, so einen Dienst zu implementieren. Fragt mal die anderen Virenscanner-Hersteller, wie dumm das ist. Beispielsweise Panda, Bitdefender, Authentium, nochmal Panda, Symantec Norton, McAfee, nochmal Symantec, schon wieder Panda und McAfee, usw. … oder wie Heise damals schrieb: „Sicheres ActiveX und andere Märchen„.
2. Vielleicht hat es sich bis Finnland noch nicht herumgesprochen: es gibt auch andere Webbrowser als den Internet Explorer. Und es gibt gute Gründe, Firefox, Opera oder Safari unter Windows einzusetzen, z.B. weil man dann die Sicherheitsprobleme mit ActiveX nicht hat.
3. Wenn sogar der Süddeutschen Zeitung auffällt, dass ActiveX eine dumme Idee ist, dann sollte man vielleicht was ändern. Wörtlich aus dem Artikel: „Auf einen solchen Eingriff reagieren Sicherheitsprogramme aber meist allergisch. Denn das Programm lädt ein ActiveX-Applet auf den Rechner, das dann auch noch einige Updates nachlädt, um den Rechner dann zu durchsuchen.“
4. Und nein, der lapidare Kommentar von Herrn Rapp, „das ActiveX-Applet landet im Browser-Cache und lässt sich somit leicht entfernen“ ist keine Lösung. Die meisten Windows-Nutzer dürfen nämlich damit überfordert sein, den Cache zu löschen oder ActiveX-Controls zu deaktivieren. Besonders wenn in der FAQ dazu steht: „Delete folder PCHC_1_1 in C:\Documents and Settings\xxxxxxx\LocalSettings\Temp\“.

Liebe Freunde von F-Secure, so gut euer Virenscanner auch ist, DAS hier ist völlig daneben. Setzen, 6.

Soso, es gibt also eine „Govware“. Golem schreibt in einem Artikel

„BND-Vizechef Arndt Freiherr Freytag von Loringhoven hat vor den Mitgliedern des Parlamentarischen Kontrollgremiums (PKG) eingeräumt, mit dem Bundestrojaner Computer im Ausland attackiert zu haben. In den vergangenen Jahren sei in mindestens 90 Fällen im Ausland mit der Govware operiert worden.“

Im Artikel des Focus, auf den sich Golem zwar bezieht aber vielleicht aus Scham nicht direkt verlinkt, steht kein Wort von „Govware“, da heißt die Software ganz klassisch weiter „Bundestrojaner“. Ich fürchte, das war Golem für einen Artikel nicht schmissig genug.

So eine Schweinerei. Mein Virenscanner schützt zwar vor Adware und Spyware aber noch nicht vor „Govware“. Ich glaube, da muss ich mal reklamieren.

Kurzbesuch bei Juniper in Amsterdam. Die haben da einen coolen Showroom:

Ich würde schätzen, da steht bestimmt Hardware im Wert von mehreren Millionen Euro rum.  Für Netzwerker eine prima Spielwiese 🙂

Heute war wieder ArchITecture, die Hausmesse von Ingram Micro und wie die letzten Jahre habe ich den Live Hacking Vortrag am Morgen gehalten.

Dieses Jahr habe ich über Viren und Schadprogramme referiert.

Die Live-Show, die nicht aus der Präsentation erkennbar ist, umfasste eigentlich nur ein paar Kleinigkeiten, die Show-Wirkung ist aber nicht zu unterschätzen.

Der erste Teilbereich handelt von Ideen, ein Schadprogramm auf den Rechner zu schleusen.

1. Vorführen eines einfachen Keyloggers
2. Vorführung wie ein Backdoor-Programm wie z.B. Netbus funktioniert
3. Basteln eines einfachen Trojaners mittels Elitewrap aus Netbus und einem harmlosen Flashfilm
4. Einstecken einer CD oder eines USB-Sticks mit Autorun um automatischen Programmstart zu demonstrieren
5. Hochladen dieses Trojaners bei Virustotal

Hier gibt es dann immer den ersten lustigen Aha-Effekt, weil ausgerechnet Symantec Norton und Trend Micro den Trojaner nicht erkennen.

Der zweite Teilbereich behandelt das Verstecken von Dateien

1. Ein erkanntes Schadprogramm kann mit Winzip in der BZIP2-Kompression verpackt werden und wird dann von der Hälfte der Virenscanner auf Virustotal nicht mehr erkannt
2. In NTFS kann man Dateien in Alternate Data Streams (ADS) verstecken und wieder starten
3. Mit ADS Spy oder vergleichbaren Tools lassen sich die Dateien wieder anzeigen
4. Konfiguration und Anwendung von Winrootkit (geht nicht mit XP SP2) um Dateien zu verstecken
5. Rootkit Revealer, um die versteckten Dateien wieder aufzuspüren

Das sind Möglichkeiten, die nicht nur von Schadprogrammen sondern auch von regulären Programmen genutzt werden.

Im dritten und letzten Block geht es dann um die fortschreitende Kommerzialisierung. Besonders faszinierend ist kommerziell angebotene Spyware, die man direkt per Kreditkarte kaufen kann.

1. Demo des Hacker Defender Rootkits (ehemals kommerziell)
2. Demo des Refog Employee Monitor
3. Verweis auf einschlägige Webseiten wie VX Heaven

Die komplette Show dauert etwa 1,5 Stunden, in Neuss hatte ich leider nur rund 45 Minuten und musste daher ein paar Sachen weglassen. Aber bereits der erste Block und vielleicht noch der Hinweis auf die Refog-Webseite reicht in der Regel, um den einen oder anderen nervös werden zu lassen.

Ach ja, die Show kann gerne auch bei mir gebucht werden 🙂

Inanny erlaubt es, in Zukunft die ganze Familie mit einem GPS-Empfänger zu versehen und jede Bewegung über das Mobilfunknetz zu tracken. Für nur 129,- € pro Gerät und 9,99 Euro pro Monat für die Abfrage über das Internet.

Interessante Frage, wie die Persönlichkeitsrechte von Kindern dabei gewahrt werden sollen.