Danke Guhgell, dass du langsam damit anfängst, die Auswertung von Suchbegriffen zu erschweren und damit auch einen Beitrag dazu leistest, dass die Keyword-SEO-Spam demnächst ein Ende finden wird. Obwohl ich es schon ein bisschen schade finde, in Zukunft nicht mehr über die ganzen Gagasuchbegriffe den Kopf schütteln zu können…
Tagesarchiv 19. Oktober 2011
-
Nachtwächter
-
Nachtwächter
Man erlebt hier politischen Kontrollverlust angesichts komplexer technologischer Systeme in Echtzeit…
Tja, ist ja auch kein Wunder, wenn die eingesetzte Technik gar nicht verstanden wird und die recht minderwertigen Leistungen einer Firma wie DigiTask mit ein paar PR-Taschenspielertricks wie ganz große Zauberei erscheinen. Alles redet von irgendwelchen Frauenquoten, aber Kompetenzquoten fände ich besser.
-
Nachtwächter
Vom Photoshop des Tages kriegt man mal wieder einen richtigen Hals. Und was für einen!
-
Nachtwächter
Und gleich nochmal, weils so ernüchternd war. Hier ist der Bundestrojaner 2.0, jetzt auch universeller einsetzbar. Mein Lieblingssatz im Heise-Artikel ist »Aber es wird immer klarer, dass Antiviren-Software keinen Schutz vor einem solchen Staatstrojaner bieten kann« – es fehlt mir nur die Präzisierung, dass das ganze Antiviren-Schlangenöl kaum einen Schutz vor irgendetwas (außer einer großen Menge bereits bekannter Malware) bietet.
Nachtrag (bitte Popcorn bereitlegen): Wie ist Kaspersky wohl an
den Bundestrojaner und[Oops!] den Installer gekommen?F-Secure vermeldet, dass sie den Installer namens scuinst.exe seit Dezember 2010 haben und dass der Installer (also nicht der Bundestrojaner selbst) von den Heuristiken als möglicherweise schädlich erkannt wurde. Dieser Installer kam zu F-Secure, weil er zur Überprüfung bei VirusTotal hochgeladen wurde.
Nun die Frage: Wer könnte so etwas tun? So weit es bis jetzt bekannt ist, wurden die Bundestrojaner händisch aufgespielt, etwa von Beamten des zurzeit Wolfgang Schäuble unterstehenden Zolls. Dieser Installer kann also nur geleakt sein, indem entweder DigiTask oder eine der vielen Polizeien das Ding hochgeladen hat, um mal zu schauen, ob man die mit Steuermitteln erstellte Schadsoftware vielleicht auch über einen anderen Weg (zum Beispiel Ausnutzung von Sicherheitslücken) auf Rechnern installieren könnte. Vermutlich wollten die einfach nur mal nachschauen, ob der Installer für die Art von Angriff verwendbar ist, den sonst nur Kriminelle vornehmen, und da haben sie den halt mal kurz hochgeladen. Das ist ziemlich großes Kino. F-Secure hat sich auch gefragt, wie jemand auf die idiotische Idee kommen könnte, eine aufwändig entwickelte und noch einzusetzende Malware bei einer Plattform hochzuladen, die allen hochgeladenen Code direkt zu den Herstellern von Antivirus-Software gibt. Vielleicht, haben sie sich dort gedacht, vielleicht war es die einzige bei DigiTask und Polizeien bekannte Testmethode für die Backdoor-Installation; vielleicht war ihnen aber auch gleichgültig, dass sie damit die Anwendbarkeit und Nutzungsdauer ihrer Backdoor-Installation verringern; oder aber, vielleicht ist das einfach nur eine weitere Demonstration der Tatsache, dass die deutsche Regierung und der Hersteller des Bundestrojaners keine Ahnung davon haben, wie die Antivirus-Industrie arbeitet und was dort getan wird, um die Kunden zu schützen.
Hach!
Nachtrag Zwei: Obwohl ich nur so wenig Info habe, wird schon klar, dass dieses Ding dermaßen verkackt ist, dass einem die Worte fehlen. Es sollten zum Beispiel nur bestimmte Prozesse überwacht werden, und die Namen der Prozesse stehen da hardgecodet drin. Halt, damit es nicht so aussieht, als würde eine Totalüberwachung gemacht. Einer dieser Prozesse ist explorer.exe. Das Ding ist aber nicht nur der IE, das Ding ist auch der Dateimanager von MS Windows, so dass man doch schon wieder sehr weitgehend überwachen könnte. Andere Prozesse sind zum Beispiel skype.exe oder firefox.exe. Die werden vom Bundestrojaner einfach an ihrem Dateinamen erkannt, so dass ein bloßes Umbenennen der Dateien den ganzen Mechanismus austricksen könnte. Außer natürlich beim Windows-Explorer, da würde das Umbenennen ja doch ein paar Problemchen bereiten, die von vielen Menschen nicht mehr bewältigt werden könnten. Wer also jetzt glaubt, dass er möglicherweise die Stasi-2.0-Wanze auf seiner Rechenmühle hat und nicht möchte, dass seine Skype-Gespräche abgehört werden, der kann einfach die skype.exe in skype2.exe umbenennen und ein paar Verknüpfungen im Startmenü und im Schnellstart bearbeiten, um wieder den alten Komfort beim Programmstarten zu haben. Ich frage mich ja schelmisch, was die werten Polizeibeamten eigentlich mit dem hübschen Datenstrom anfangen, wenn jemand seinen Firefox in skype.exe und sein Skype in firefox.exe umbenennt. Damit könnte auch auf der Seite der Lauscher mal ein bisschen Security-Auditing gemacht werden – wenn es bei unerwarteten Datenströmen zu buffer overflows kommt, kackt das Ding bei denen halt ab.