Hilfe
Neues Thema
Antworten
Zitat (Witi: 12.04.2006, 13:44)
Eine Newsgroup wofür du einen Reader benötigst.
Welchen würdest du da empfehlen? habe sowas noch nie genutzt 8)
Was Tun, Wenn Der Pc Kompromittiert Wurde?
#76
ShadowHunter 
geschrieben 12. April 2006 - 12:59
Welchen würdest du da empfehlen? habe sowas noch nie genutzt 8)
"Wir können Regierungen nicht trauen, wir müssen sie kontrollieren"
(Marco Gercke)
(Marco Gercke)
Nach oben
#77
Witi
- Gruppe: aktive Mitglieder
- Beiträge: 5.701
- Beigetreten: 13. Dezember 04
- Reputation: 43
- Geschlecht:Männlich
- Wohnort:Kingsvillage
- Interessen:Frickeln
geschrieben 12. April 2006 - 13:03
Bin nicht aktiv in Newsgroup, deshalb weiß ich es nicht genau 
Bei Wikipedia gibts aber eine kleine Übersicht über die Programme: http://de.wikipedia....wiki/Newsreader
Bei Wikipedia gibts aber eine kleine Übersicht über die Programme: http://de.wikipedia....wiki/Newsreader
#78 _moep_
geschrieben 12. April 2006 - 13:10
Ich würde dir den hier empfehlen http://www.forteinc....nt/download.php ist ziemlich gut kannst ihn 30 Tage als Shareware nutzen oder solang du willst in der abgespeckten Version in der ich ihn auch nutze Tuts gibts zu haufen im Net...
aber jetzt sind wir wirklich OT vllt sollte ein Mod mal splitten ^^
aber jetzt sind wir wirklich OT vllt sollte ein Mod mal splitten ^^
#79
Graumagier
- Gruppe: aktive Mitglieder
- Beiträge: 8.747
- Beigetreten: 01. März 04
- Reputation: 1
- Geschlecht:Männlich
- Wohnort:Graz, Österreich
geschrieben 12. April 2006 - 15:30
40tude Dialog setze ich persönlich ein, kann ich auch empfehlen.
"If you make something idiot proof, someone will invent a better idiot." - Marvin
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#80
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 12. April 2006 - 16:22
Naja, solange bis die Datenbank kaputtgeht, dann spinnt er nur noch. 
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#81 _Hinterwäldler_
geschrieben 02. Juni 2006 - 10:36
Hallo Rika
Im Großen und Ganzen hast du meine volle Unterstützung. Nur eines ist etwas falsch dargestellt, auch bei Oschad: Wenn ich deinen Ausführungen folge, ist in einem kompromittierten Laptopsystem auch das Recovery-Archiv (meist als versteckte Partition befindlich) ebenfalls kompromittiert. Das würde bedeuten, das nach einer Kompromittierung der Laptop samt Recovery wertlos ist. Wo holt nun der gestresste User seine neuen Setups her? Er hat nur die StartCD zur Wiederherstellung der OEM-Installation und er hat diesen "Komfort" bezahlt.
Ähnlich würde es sich mit auf der Festplatte angelegten eigenen Archiven mit Imagingtools verhalten. Obwohl diese Archive nachweislich erstellt wurden, als das System noch keinen Kontakt zum Netz hatte, alle bekannten Imagingprogramme Prüfsummen verwenden und damit erkennen können, falls ein Archiv manipuliert wurde. Bei defekten Archiven wird grundsätzlich die weitere Installation abgelehnt und abgebrochen.
Derartiges Verhalten zeigen zumindest die mir bekannten Programme von Acronis und Paragon. Mir ist auch kein Fall bekannt, in welchem eine Malware gezielt ein bestimmtes Imagingprogramm patcht und anschliesend die Archive manipuliert.
Ich habe in den Beschreibungen von Malware bislang zwar alle mögliche Sauerrei gefunden, jedoch keinen Hinweis darauf, das vom Autor der Malware bewußt und vorsetzlich davon ausgegangen wird, das sich Systemdateien und Systemverzeichnisse auf anderen Partitionen als auf der Startpartition befinden. Ausnahme: Die Umgebungvariablen verweisen ausdrücklich darauf! Auch bei Recherchen der Malware bezüglich auswertbarer Daten wird immer von den Angaben in den Variablen SET und PATH ausgegangen.
Gibst du mir mal einen Link, in welchem nachweislich vom Malwareautor die von dir beschriebene Wege beschritten wurden und auf anderen (unsichbare oder sogar abgehangene) Partitionen lagernde Archive unbemerkt manipulierten!
Allerdings und ich begründe:
Ich habe etwas gegen automatisch aktualisierte, inkrementel Imagingarchive, weil in ihnen im System installierte Malware genauso wie jede andere beliebige Systemänderung gesichert wird und davon ausgegangen werden muß, das der Infekt vor unbekannter Zeit archiviert wurde. Damit ist das ganze inkrementelle Imaging wertloser Tand.
Richtig:
Eine Auswahl sicherungswürdiger Datendateien festzulegen und diese in einer konventionellen Backupstrategie durch ein stinknormales Backuptool regelmäßig zu sichen. Ein simples Beispiel für Heimanwender wäre MozBackup und/oder ZipGenius und es ist immer sinnvoll, die selbst angelegten Daten vom System des notorischen Müllsammlers WindowsXP durch partitionelle Aufteilung der Festplatte zu trennen.
Ein Restore des Images beschränkt sich dann immer auf die weniger umfangreiche Startpartition mit System und allen Programmen. Zur Not könnte dann vor Zugriff auf andere Partitionen von der jetzt wieder sauberen Startpartition diese einer Prüfung auf zufällig dort geparkten Malware erfolgen.
Ach so:
Sensible persönliche Daten gehören grundsätzlich nicht in ein Windowssystem, sondern in den Kopf oder in einem ordentlich geführte Aktenordner im Wohnzimmerschrank. Wer es bis zum heutigen Tag noch nicht begriffen hat, für den dürfte ach jede weitere Warnung und Erläuterung sinnlos sein.
Im Großen und Ganzen hast du meine volle Unterstützung. Nur eines ist etwas falsch dargestellt, auch bei Oschad: Wenn ich deinen Ausführungen folge, ist in einem kompromittierten Laptopsystem auch das Recovery-Archiv (meist als versteckte Partition befindlich) ebenfalls kompromittiert. Das würde bedeuten, das nach einer Kompromittierung der Laptop samt Recovery wertlos ist. Wo holt nun der gestresste User seine neuen Setups her? Er hat nur die StartCD zur Wiederherstellung der OEM-Installation und er hat diesen "Komfort" bezahlt.
Ähnlich würde es sich mit auf der Festplatte angelegten eigenen Archiven mit Imagingtools verhalten. Obwohl diese Archive nachweislich erstellt wurden, als das System noch keinen Kontakt zum Netz hatte, alle bekannten Imagingprogramme Prüfsummen verwenden und damit erkennen können, falls ein Archiv manipuliert wurde. Bei defekten Archiven wird grundsätzlich die weitere Installation abgelehnt und abgebrochen.
Derartiges Verhalten zeigen zumindest die mir bekannten Programme von Acronis und Paragon. Mir ist auch kein Fall bekannt, in welchem eine Malware gezielt ein bestimmtes Imagingprogramm patcht und anschliesend die Archive manipuliert.
Ich habe in den Beschreibungen von Malware bislang zwar alle mögliche Sauerrei gefunden, jedoch keinen Hinweis darauf, das vom Autor der Malware bewußt und vorsetzlich davon ausgegangen wird, das sich Systemdateien und Systemverzeichnisse auf anderen Partitionen als auf der Startpartition befinden. Ausnahme: Die Umgebungvariablen verweisen ausdrücklich darauf! Auch bei Recherchen der Malware bezüglich auswertbarer Daten wird immer von den Angaben in den Variablen SET und PATH ausgegangen.
Gibst du mir mal einen Link, in welchem nachweislich vom Malwareautor die von dir beschriebene Wege beschritten wurden und auf anderen (unsichbare oder sogar abgehangene) Partitionen lagernde Archive unbemerkt manipulierten!
Allerdings und ich begründe:
Ich habe etwas gegen automatisch aktualisierte, inkrementel Imagingarchive, weil in ihnen im System installierte Malware genauso wie jede andere beliebige Systemänderung gesichert wird und davon ausgegangen werden muß, das der Infekt vor unbekannter Zeit archiviert wurde. Damit ist das ganze inkrementelle Imaging wertloser Tand.
Richtig:
Eine Auswahl sicherungswürdiger Datendateien festzulegen und diese in einer konventionellen Backupstrategie durch ein stinknormales Backuptool regelmäßig zu sichen. Ein simples Beispiel für Heimanwender wäre MozBackup und/oder ZipGenius und es ist immer sinnvoll, die selbst angelegten Daten vom System des notorischen Müllsammlers WindowsXP durch partitionelle Aufteilung der Festplatte zu trennen.
Ein Restore des Images beschränkt sich dann immer auf die weniger umfangreiche Startpartition mit System und allen Programmen. Zur Not könnte dann vor Zugriff auf andere Partitionen von der jetzt wieder sauberen Startpartition diese einer Prüfung auf zufällig dort geparkten Malware erfolgen.
Ach so:
Sensible persönliche Daten gehören grundsätzlich nicht in ein Windowssystem, sondern in den Kopf oder in einem ordentlich geführte Aktenordner im Wohnzimmerschrank. Wer es bis zum heutigen Tag noch nicht begriffen hat, für den dürfte ach jede weitere Warnung und Erläuterung sinnlos sein.
#82
Graumagier
- Gruppe: aktive Mitglieder
- Beiträge: 8.747
- Beigetreten: 01. März 04
- Reputation: 1
- Geschlecht:Männlich
- Wohnort:Graz, Österreich
geschrieben 02. Juni 2006 - 10:50
Hinterwäldler sagte:
Das würde bedeuten, das nach einer Kompromittierung der Laptop samt Recovery wertlos ist.
Dem kann ich nicht zustimmen, die Hersteller schicken i.d.R. auf Nachfrage autonome Recovery-CDs an ihre Kunden, wenn man das beim Support beantragt.
Hinterwäldler sagte:
Ich habe in den Beschreibungen von Malware bislang zwar alle mögliche Sauerrei gefunden, jedoch keinen Hinweis darauf, das vom Autor der Malware bewußt und vorsetzlich davon ausgegangen wird, das sich Systemdateien und Systemverzeichnisse auf anderen Partitionen als auf der Startpartition befinden.
Tatsächlich ist mir keine entsprechende Malware bekannt, Fakt ist aber dass es ohne weiteres möglich ist und dass diese Problematik somit besteht. Abgesehen davon haben Hersteller-Recoveries die unangenehme Eigenart, allen möglichen Mist mitzuinstallieren.
"If you make something idiot proof, someone will invent a better idiot." - Marvin
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#83 _Hinterwäldler_
geschrieben 02. Juni 2006 - 11:29
Zitat (Sina: 29.05.2005, 01:08)
[color=red]Ich weiß, zuzugeben, dass man etwas nicht verstanden hat, ist nicht besonders „in“ … wie kann man nur so blöde sein … aber vielleicht liegt hier ein Teil des Problems: Man ließt etwas, versteht es nicht wirklich und irgendwann gibt man auf, weil das Gefühl – alle anderen scheinen durchzublicken, nur man selbst scheint zu blöde dazu zu sein – nicht besonders angenehm ist. Und der Rechner bleibt so, wie er ist.
Hier will jemand weder dir, noch einem Anderen etwas erzählen, was du nicht verstehst. Diese Annahme ist falsch und führt in eine Sackgasse. Natürlich gibt es auch User hier im Forum, die einfach nur mal etwas schreiben wollen und das mußt du einfach mal tolerieren. Oft wird denen dann ganz seriös gegengehalten. So ist nun mal das Internet. Du mußt nur unterscheiden lernen, wer in einem Forum mit seinem Wissen beiträgt und wer nur ....
Ich bin jetzt 63 Jahre alt und mich interessierte bis vor 3 Jahren die PC-Sicherheit einen feuchten Kehrricht bis zu dem Moment als ein kriminelles Subjekt trotz aktivem ZA in meinem System per Remote vor meinen Augen einfach spazieren ging, Verzeichnisse anlegte und löschte, Dateien anlegte und wieder löschte und dann noch zu allem Überdruß einen deutlich lesbaren Script mit krytischen Angaben auf meinem Desktop plazierte. Aus heutiger Sicht war es ganz lustig, du hättest mich aber zu diesem Zeitpunkt sehen müssen. Ab dem Tag habe ich mich ernsthaft mit der Materie befasst und sie weitestgehend verstanden! Manchmal braucht der Mensch ein paar Schläge auf den Hinterkopf....
Nun zu den Anderen:
Eine der wesentlichsten Wissensquellen waren die Newsgroups, nicht die vom Gulli sondern die richtigen öffentlichen, zu denen jeder Zugang hat und in denen zum Beispiel auch der CCC sein Domizil aufgeschlagen hat. Den ersten Eindruck bekommt ihr, wenn ihr mal ein wenig mit google spielt und eure Suchbegriffe nicht unter Web sondern unter Groups eingebt. Versuche es einfach mal. So schwer ist es gar nicht.
Theoretisch wäre es möglich schon von hier aus an den Diskussionen teilzunehmen. Das ist aber nicht empfehlenswert und erregt sofort Widerspruch bei den Beteiligten. Ein richtiger Client sollte es nun auch sein. Geeignet sind aus den unterschiedlichsten Gründen besonders Mozilla&Co. Zu diesen Clienten habe ich hier eine Anleitung geschrieben und mir ist bis jetzt noch keine Info bekannt geworden, das es bei den einem oder anderem nicht sofort auf Anhieb geklappt hat.
#84
Graumagier
- Gruppe: aktive Mitglieder
- Beiträge: 8.747
- Beigetreten: 01. März 04
- Reputation: 1
- Geschlecht:Männlich
- Wohnort:Graz, Österreich
geschrieben 02. Juni 2006 - 11:35
@Hinterwäldler: Verlinke doch bitte am Ende des Artikels auf eine entsprechende Usenet-FAQ bzw. -Rules, sonst kommt noch jemand auf die Idee, einfach so loszuposten. Und dann wird er eher wenig Hilfe bekommen
Dieser Beitrag wurde von Graumagier bearbeitet: 02. Juni 2006 - 11:36
"If you make something idiot proof, someone will invent a better idiot." - Marvin
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#85 _Hinterwäldler_
geschrieben 02. Juni 2006 - 12:07
Zitat (Graumagier: 02.06.2006, 11:50)
Dem kann ich nicht zustimmen, die Hersteller schicken i.d.R. auf Nachfrage autonome Recovery-CDs an ihre Kunden, wenn man das beim Support beantragt.
Echt, einen ganzen Satz? Warum hat er das nicht sofort migeliefert? Ich weiss nur von den StartCDs, aber wenn du es sagst...
Zitat
Tatsächlich ist mir keine entsprechende Malware bekannt, Fakt ist aber dass es ohne weiteres möglich ist und dass diese Problematik somit besteht.
Gehe wirklich mal davon aus, was technisch machbar ist und was nicht. Es ist ganz simpel die Umgebungsvariablen abzufragen oder entsprechende Systemkenntnisse ins Programm mit zu integrieren. Volker Birk hat letzteres zum Beispiel mit mit seiner Ausbruch-exe getan.
Aber etwas zu suchen, von dem man nicht weiss wie es heist und ob es überhaupt vorhanden ist und wenn dies nicht dann das nächste suchen und dann noch die Archive mit deren Verwaltungsdateien zu manipulieren, ist aus meiner Erfahrung ein mit UPX gepacktes Programm mit mehreren Megabyte Größe. Sieh dir an, welcher Aufwand oft betrieben wurde, um Sicherheitssoftware unwirksam zu machen. Eine derartige Aktivität käme jetzt noch zusätzlich hinzu.
Hier hilft nicht die Abfrage von Systemvariablen, insbesonders dann nicht, wenn sich wie so oft und so wie bei mir das Startprogramm auf speziellen CD/DVDs (zB. BartPE) befindet. Bei den StartCDs zum Recovery ist es übrigens ähnlich. Es gibt keine überintelligente Schadsoftware mit der Fähigkeit einer Wahrsagerin! Dies bleibt nach wie vor einem Harald Alke (googlen) vorbehalten.
Zitat
Abgesehen davon haben Hersteller-Recoveries die unangenehme Eigenart, allen möglichen Mist mitzuinstallieren.
Hast du überhaupt schon mal einen NeuPC gesehen, auf welchem kein Müll installiert war und das wesentlichste nicht fehlte? Bei meinem letzten System fehlte der integrierte Sound, was glaubst du, was ich alles angestellt habe bis ich an den Treiber kam 
#86 _Hinterwäldler_
geschrieben 02. Juni 2006 - 13:04
Zitat (Graumagier: 02.06.2006, 12:35)
@Hinterwäldler: Verlinke doch bitte am Ende des Artikels auf eine entsprechende Usenet-FAQ bzw. -Rules, sonst kommt noch jemand auf die Idee, einfach so loszuposten. Und dann wird er eher wenig Hilfe bekommen
Mit deiner Frage kann ich nicht so viel anfangen. Eine FAQ fürs Usenet, so ganz allein und an und für sich? Ich kenne diese: http://www.afaik.de/usenet/faq/ wobei die ersten drei zumindest mal gelesen sein sollten, aber in denen auch nichts anderes steht als in meiner Anleitung. Nur eben ausführlicher... ebissl Knigge muß schon sein
Dann hat jede der fast 25.000 Diskussionsgruppen für sich noch eine eigene FAQ und die zutreffende sollte unbedingt vor dem ersten Posten gelesen werden. Wesentliche FAQs sind jedoch auch so bekannt. Ich nenne mal paar aus dem Stehgreif:
http://www.iks-jena....t/Firewall.html
http://www.stud.tu-i...traenk/dcsm.htm
http://faq.jors.net/virus.html
http://faq.underflow.de/
http://einklich.net/...et/begriffe.htm
http://malte-wetz.de.vu/index.php?viewPage...compromise.html
http://malte-wetz.de...ec-removal.html
Wobei sich die beiden Letzten insbesonders mit vielen Erläuterungen an den Heimanwender wenden. Wem natürlich die Zeit für ein paar Schreibmaschinenseiten zu lesen fehlt, ...
Im Großen und Ganzen ist das Usenet das ursprüngliche Internet. Es existierte auch schon viel eher. Zur Einführung gibt es auch paar Gesetze http://www.bruhaha.de/laws.html und man darf sich nicht wundern, wenn man bei deren Ignoranz mal dieses oder jenes Law aufs Brot geschmiert bekommt.
Eine ganz wichtige Page bezüglich Computersicherheit ist diese: http://ulm.ccc.de/ Sie ist Ausgangspunkt vieler Recherchen zu neuesten Erkenntnissen.
Übrigens habe ich gerade bei Oschad gelesen und da stimme ich ihm zu:
Zitatanfang
Geht man von Manipulationen aus, müssen alle Dateien, die auch ausführbare Inhalte haben können, als schädlich angesehen werden. Eine Aufzählung von Dateitypen mit ausführbarem Inhalt für Windows gibt es hier. Dateien, die wirklich ausschließlich Daten und keinen ausführbaren Code enthalten, müssen, sofern der Inhalt wichtig ist, verifiziert werden, entweder durch Durchsicht oder automatisiert durch geeignete Algorithmen.
Zitatende
Ist eigentlich auch nichts anderes, als das was ich schrieb. Eine Verifizierung einer Datendatei, also auch des Archives eines Imagingprogrammes ist grundsätzlich immer Vorausetzung. Es wäre zwar denkbar, auch dies ähnlich eines selbstextrahierenden Archives zu machen, aber wer tut denn sowas schon.
#87
Graumagier
- Gruppe: aktive Mitglieder
- Beiträge: 8.747
- Beigetreten: 01. März 04
- Reputation: 1
- Geschlecht:Männlich
- Wohnort:Graz, Österreich
geschrieben 02. Juni 2006 - 14:15
Hinterwäldler sagte:
Echt, einen ganzen Satz? Warum hat er das nicht sofort migeliefert? Ich weiss nur von den StartCDs, aber wenn du es sagst...
Ich weiß es aus eigener Erfahrung von HP, und von einigen anderen OEMs, die sich einbilden keine CDs mehr mitliefern zu müssen, aus Foren.
Hinterwäldler sagte:
Aber etwas zu suchen, von dem man nicht weiss wie es heist und ob es überhaupt vorhanden ist und wenn dies nicht dann das nächste suchen und dann noch die Archive mit deren Verwaltungsdateien zu manipulieren, ist aus meiner Erfahrung ein mit UPX gepacktes Programm mit mehreren Megabyte Größe.
In Zeiten von DSL und Backdoors ist das aber nun wirklich kein Problem mehr. Wie gesagt, es handelt sich um eine bisher AFAIK nicht genutzte Möglichkeit, aber das System an sich ist potentiell gefährlich.
Hinterwäldler sagte:
Mit deiner Frage kann ich nicht so viel anfangen. Eine FAQ fürs Usenet, so ganz allein und an und für sich?
Ja, ich hatte mal sowas in meiner Bookmark-Sammlung. Eben mit den Basics (Realname, wie funktionieren FUs usw.), was halt in jeder NG gleich funktioniert.
Dieser Beitrag wurde von Graumagier bearbeitet: 02. Juni 2006 - 14:17
"If you make something idiot proof, someone will invent a better idiot." - Marvin
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
For Emails always use OpenPGP. My KeyID: 0xA1E011A4
#88
valeron
- Gruppe: aktive Mitglieder
- Beiträge: 579
- Beigetreten: 13. Oktober 05
- Reputation: 0
- Geschlecht:Männlich
- Interessen:Computer
geschrieben 02. Juni 2006 - 16:15
Zitat
Ich habe in den Beschreibungen von Malware bislang zwar alle mögliche Sauerrei gefunden, jedoch keinen Hinweis darauf, das vom Autor der Malware bewußt und vorsetzlich davon ausgegangen wird, das sich Systemdateien und Systemverzeichnisse auf anderen Partitionen als auf der Startpartition befinden.
heißt das mein windows ist sicherer wenn ich es auf D: installiere anstatt auf C: wie es normalerweise
ist?
EDTI: hab beim 2. lesen verstanden wie es gemeint war sry; die frage erübrigt sich
Dieser Beitrag wurde von valeron bearbeitet: 02. Juni 2006 - 16:20
#89
Rika
- Gruppe: aktive Mitglieder
- Beiträge: 11.505
- Beigetreten: 11. Juni 03
- Reputation: 2
- Geschlecht:Männlich
geschrieben 02. Juni 2006 - 17:39
Zitat
und er hat diesen "Komfort" bezahlt.
Du weißt aber, daß diese Bündelung in Deutschland nicht zulässig ist? Du hast anspruch auf eine Original-CD, die nicht an die Hardware gebunden ist. Wird diese nicht spätestens auch Nachfrage geliefert, sollte man Klage androhen und eine Beschwerde beim Verbraucherschutzverein einreichen.
Mit welchem Recht verschwenden sie eigentlich deinen bezahlten Festplattenspeicherplatz? Einfach die Partition löschen und selbst nutzen, wenn's nicht mehr funktioniert sind sie und nicht du daran schuld.
Zitat
alle bekannten Imagingprogramme Prüfsummen verwenden und damit erkennen können, falls ein Archiv manipuliert wurde.
Kommt drauf an, wo diese Prüfsummen gespeichert wurden und ob sie kryptgraphisch sicher sind.
Zitat
und in denen zum Beispiel auch der CCC sein Domizil aufgeschlagen hat.
Huh? de.org.ccc ist offiziell nicht mit dem CCC verwandt.
Zitat
Aber etwas zu suchen, von dem man nicht weiss wie es heist und ob es überhaupt vorhanden ist
ist doch trivial, du brauchst einfach nur in die Partitionstabelle zu schauen. Mal kurz nach der Dateisystemsignatur schauen kann jeder billige 512-Byte-Bootloader und auch Verdacht zu mounten (mit erzwungener Vorgabe des Dateisystems) ist ebenfalls trivial.
Zitat
ist aus meiner Erfahrung ein mit UPX gepacktes Programm mit mehreren Megabyte Größe
Deshalb liefert man Trojanische Pferde idR nur mit den entsprechenden Tools aus und verlagert die Automatisierung ins Backend (d.h. in die Steuerung des Bösen Buben), ist zur Not auch manuell möglich. Zudem können einzelne Funktionen nachgeladen werden.
Zitat
Sieh dir an, welcher Aufwand oft betrieben wurde, um Sicherheitssoftware unwirksam zu machen.
Weil es offenbar auch ausreicht.
Sorry, aber was ist einfacher als mit Adminrechten in sein eigenes Process Security Token zu schreiben, sich damit SYSTEM-Rechte zu verschaffen, den Zielprozess anzuhalten und dann einfach zu terminieren? Man könnte auch noch vorher KiSystemTable prüfen, ob relevante Funktionen übernommen wurden, und bei Bedarf zurückbiegen.
Zitat
Es wäre zwar denkbar, auch dies ähnlich eines selbstextrahierenden Archives zu machen, aber wer tut denn sowas schon.
Die Malware. Sie verändert einfach den SFX-Code, um beispielsweise Passwörter zu selbstentschlüsselnden Sachen abzufangen und die Prüfsumme als korrekt zu returnieren.
Konnichiwa. Manga wo shitte masu ka? Iie? Gomenne, sonoyouna koto ga tabitabi arimasu. Mangaka ojousan nihongo doujinshi desu wa 'Clamp X', 'Ayashi no Ceres', 'Card Captor Sakura', 'Tsubasa', 'Chobits', 'Sakura Taisen', 'Inuyasha' wo 'Ah! Megamisama'. Hai, mangaka gozaimashita desu ni yuujin yori.
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
Ja, mata ne!
(For sending email please use OpenPGP encryption and signing. KeyID: 0xA0E28D18)
#90 _Hinterwäldler_
geschrieben 02. Juni 2006 - 19:33
Zitat (Graumagier: 02.06.2006, 15:15)
Ich weiß es aus eigener Erfahrung von HP, und von einigen anderen OEMs, die sich einbilden keine CDs mehr mitliefern zu müssen, aus Foren.
Dann hat sich einiges geändert.
Zitat
Ja, ich hatte mal sowas in meiner Bookmark-Sammlung. Eben mit den Basics (Realname, wie funktionieren FUs usw.), was halt in jeder NG gleich funktioniert.
Das ist eigentlich nicht notwendig. Ich persönlich habe hier in den FF-Lesezeichen zwar auch sowas, benötige dies aber meist nur, um sie anderen "zu verschenken
Zitat
In Zeiten von DSL und Backdoors ist das aber nun wirklich kein Problem mehr. Wie gesagt, es handelt sich um eine bisher AFAIK nicht genutzte Möglichkeit, aber das System an sich ist potentiell gefährlich.
Hier muß ich anders anfangen.
Also da gibt es Schadsoftware oder mal ganz einfach ausgedrückt "Malware". Diese ist alles das, über was hier auf dem Brett gesprochen wird und meist wird da von Fachleuten auch gar keine Unterscheidung mehr getroffen. Dafür gibt es zwei Gründe:
1. Jedes Unternehmen, welche eine Malware auf ihre Funktionalität hin untersucht findet diese oder auch jene als Erstes, danach richtet sich meist ihre Namenvergabe. Daraus resultieren die oft merkwürdigen Unterschiede in der Bezeichnung. Eine exakte Beschreibung erfolgt wenn überhaupt oft sehr selten und viel später.
2. Schadsoftware ist heute so komplex, das kaum noch eine Typunterscheidung getroffen werden kann. Moderne Malware ist meist alles gemeinsam.
Hier ist der Hauptgrund für ihre Gefährlichkeit, aber auch ihre schwächste Stelle. Eine Backdoor-Funktionalität von Malware tritt in den seltensten Fällen ganz allein auf und irgend ein Merkmal wird meist erkannt. Noch bevor eine derartige Funktion erkannt wird, haben sich schon ganz andere Potentiale auf dem System zum Bot formiert. Damit hat sich auch die ganze weitere Sucherei erledigt und der Grund ist gefunden, das System zu plätten.
Viel Wichtiger sind die Verbreitungswege. Früher übliche Verbreitung mit Datenträgern entfällt in der heutigen Zeit. Neben der althergebrachten Methode des Versendens per Mail hat sich eine neue Methode heraus kristallisiert und da sind die Autoren meist äußerst erfinderisch:
Es wird in einer Webseite ein Script eingebettet mit dem Ziel gegen den Willen des OP einen Download auszulösen. Dies gelingt mit dafür anfälliger Software. Also dem IÄ oder einem seiner Aufsätze einschlieslich der auf M$ aufbauenden Zugangssoftware (MSN, AOL etc.) in Verbindung mit der Microsoft VM. Manchmal geschieht das auch mit der Beantwortung der sehr seltsamen Frage: "Willst du die nächste Seite wirklich betrachten?" oder "Ich lade etwas, zum Abbruch hier klicken" usw.
Dieser Download ist meist der bewußte Trojaner in Form eines Dateitypes, welcher vom System automatisch oder durch den OP (BuntiKlicky) gestartet wird. zB: Besuchte Page meldet eine Infektion deines Systems und du sollst dies bestätigen. Wurde dieser Punkt erreicht und vom Scanner nicht erkannt, ist alles schon zu spät. Es dauert nur noch Sekunden bis die nachgeladene Software alle bekannte Sicherheitssoftware deinstallierte und das System neu konfigurierte (beides oft verbunden mit einem gewaltsamen Systemneustart
) der Bot sich selbst einen Systemwiederherstellungspunkt gesetzt und den verräterischen Trojaner gelöscht. Diese Botsoftware ist meist keine Massenware und wird darum nur in seltenen Fällen als aktiver Wurm von Scannern erkannt. Oft glaubt der OP, es müsse so richtig sein und bemerkt nur zufällig die Veränderungen im System.Wieder Andere fragen, was ein Bot ist und wollen tatsächlich dieser Software mit anderer Software die Verbindung zum Internet verbieten. Das letzteres unmöglich ist, dürfte seit Volker Birks http://ulm.ccc.de/Pe...lls/breakout-wp jeden überzeugt haben. Was sind nun Bots, es sind dezentralisierte Bestanteile eines Netzes mit den verschiedensten Aufgaben und können in kürzester Frist für verschiedene Aufgaben von der Serversoftware konfiguriert werden. Ein funktionierendes Botnet besitzt ca 60.000 bis 80.000 betriebsbereite Bots, um eine DOS-Attacke zu inszenieren. Das im vergangenen Jahr zerstörte niederländische BotNet besaß weltweit rund 1,5 Mio Bots und konnte zu jeder beliebigen Tageszeit die erforderliche Summe von 60.000 Systemen zum Einsatz bringen. Seit diesem Zeitpunkt ist auch bekannt, das BotNets Leasingware sind und an Auftraggeber vermietet werden.
So seltsam wie es klingt, aber auf diese einfache Vorgänge kann man fast alle installierte Malware zurückführen. Ihr glaubsts nicht? Versucht mal alle Threads der letzten Monate auf bestimmte gemeinsame Merkmale zu untersuchen. Das geht bis zu vereinsamten Verweisen in der Registry zu unbekannten Servern, die durch HiJackThis in der Registry erkannt wurden und zu Trojanern, die man nur in der Systemwiederherstellung findet und sonst nirgendwo. Die Preisfrage wie er wohl dorthin gekommen ist, erspare ich mir. Siehe oben.
Unterschiedliche Autoren haben für ihre Malware unterschiedliche Verhaltensweisen einprogrammiert. Nun sagen manche, auch hier auf dem Brett, huch ein popliger Trojaner, lösche ihn einfach und gut. Gemäß seiner unbestrittenen Definition im Wikipedia.de ist er jedoch der Anfang allen Übels und kein ernsthafter Mensch kann sagen, was er alles schon im System installiert und verändert hat, falls er 1x ausgeführt wurde. Du kannst nur noch nach bestimmten Merkmalen einer Infektion suchen. Das ist aber absurd. Dies spielt sich fast täglich hier und auf anderen Brettern statt.
Es ist grundsätzlich der Versuch zu vermeiden, Symptome eines Infekts zu bekämpfen. Es ist in solchen Fällen immer von einer Kompromittierung und ihren Folgen auszugehen. Aufgabe des OP sollte es sein, das System so schnell wie möglich wieder in einem cleanen Zustand verfügbar zu haben. Wer gewohnt ist mit einem sauberen System zu arbeiten, für den wird jede Veränderung in kürzester Frist offensichtlich (so genannter Brain-Effekt). Unsere Aufklärungsarbeit sollte also in zwei Richtungen gehen:
1. Vorbeugend - Über Gefahren aufklären und wie sie weitest gehend vermieden werden.
2. Was kommt nach einer festgestellten Infektion? Hier sollte bei jedem User ein Konzept bereitliegen, sowie dies Punkt für Punkt verwirklicht und abgearbeitet werden.
Ein planloses Rumfragen ist Schwachsinnig, wird aber oft auch von Admins praktiziert. Sie wissen einfach nicht was sie tun sollen und hatten doch vorher oft kluge Worte übrig. Im Mittelpunkt dieses Konzeptes steht grundsätzlich die Löschung der betroffenen Startpartition und die Wiederherstellung des betriebsbereiten Zustandes. Das gilt für Firmen-Admins genauso wie für Heimanwender ohne Unterschied, wobei bei Letzterem meist nicht der Kostenzwang vorhanden ist. Dort spielen dann noch andere Faktoren eine Rolle. Mir hat es mal einer so gesagt: Solange es geht gehts eben noch, der Rest interessiert mich wenig. Dabei hat er nicht bedacht, das er schon meine Mailadresse im Cache hatte.
An meinem Homesystem bin ich innerhalb von 15 Minuten wieder sauber und kann danach an der Aufgabe weiterarbeiten, bei welcher ich gerade den Infekt feststellte. Das ist keine Zauberei, sondern Ergebnis eines zielgerichteten Countdowns. Die letzten 5 der 15 Minuten benötige ich, um mein ClamWin zu aktualisieren und die beiden restlichen Partitionen mit diesem zu prüfen. In dieser 1/4 Stunde kann ich mit Müh und Not einen Kaffee kochen und trinken.
Der finanzielle Aufwand um dies alles zu ermöglichen lag, wenn ich alles genaustens zusammenzähle, bei 4,99 Euro und der Rest ist in und an einem ganz normalen HomePC eh vorhanden. Was solls, wer es nicht tut ist in meinen Augen nur zu bequem und wiederholt http://faq.jors.net/virus.html so oft und so lange, bis er es begriffen hat. Besonders dann, wenn ich festgestellt habe, das er auf dem betreffenden Brett Stammgast ist. Dazu zwinge ich ihn nicht, irgend wann tut er es von ganz allein.
---------------------------------------------
@Rika: ich soeben etwas geguckt und dein neues Posting gelesen. Anlass meiner Postingaktion war es ursächlich einer Heim-Anwenderin es in einer verständlichen Art zu erzählen
Ich kann dir ja soweit folgen und das du die Möglichkeit in Erwägung ziehst, ich schliese sie auch nicht grundsätzlich aus, aber es fehlen nach wie vor die Beweise, das sowas tatsächlich auch in der Realität auftritt. Wir sollten hier wirklich von solchen Argumenten wie vom Gebrauch der Kneifzange Abstand nehmen. Bleiben wir also auf dem Boden der Tatsachen.
Ich gehöre zwar nicht zum Verein, aber eines erscheint mir offensichtlich, der CCC besteht aus mehreren aktiven Gruppen und die aktivste bezüglich Computersicherheit unter ihnen ist die Ulmer Gruppe.
Bei http://ulm.ccc.de/ steht unter dem Banner: Der Chaos Computer Club Ulm ist ein Erfa-Kreis des CCC e. V und wenn du dort auf den einzigen Link in der ersten Zeile klickst, bist du schwuppdiewupp auf http://www.ccc.de/ . Ebenso sind die Initiatoren dieser beiden Pagen identisch mit den meisten Regulars in de.comp.security.* Keiner von ihnen macht ein Geheimnis daraus. Oder habe ich ernstlich was anderes behauptet?
- ← Firefox öffnet Sich Alle 45 - 60min Selbstständig...
- Sicherheit
- 1 Gb Usb Speicherstick Mit Passwort Schützen ?! →
