1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Ransomware: Entschlüsselungstool für…

komisch...

  1. Thema

Neues Thema Ansicht wechseln


  1. komisch...

    Autor: Rulf 21.05.17 - 08:32

    kennen die kriminellen keine sicheren verschlüsselungsmethoden?...

    mir ist schon klar, daß sich die gauner in erster linie selber schützen müssen...
    aber wieviel profit bringt denn ein neuer trojaner, der gleich wieder entschärft wurde?...

    nächste frage: wie entwickelt man so ein tool?...
    wird da solange gezahlt, bis die gauner mal einen code oder tool liefern?...

  2. Re: komisch...

    Autor: kazhar 21.05.17 - 10:23

    Die Kriminellen kennen gar keine Verschlüsselungsmethode, sondern benutzen einfach die eingebaute CryptoAPI.

    Und wie bei jeder fremden Bibliothek die man nutzt sollte man auch hier vorher ein paar (hundert) Seiten Doku lesen, damit man keinen offensichtlichen Mist baut.
    Dankenswerterweise ist das in dem Fall nicht passiert...

  3. nicht komisch ;)

    Autor: mhstar 21.05.17 - 11:21

    Bis auf den Fehler, dass Windows 7 den Speicherbereich nicht löscht, machen die sogar alles genau richtig. Der Bug ist in Windows 7 (und die NSA hat ihn sicher ausgenützt).

    Das einzige was die machen hätten können wäre openssl oder eine andere Library verwenden.

    Bis auf solche Exoten ("Programm läuft nur unter Windows verwendet aber eine eigene Library) *sollst* du die Crypto-API verwenden. Dass du selbst einen Verschlüsselungsalgorithmus entwirfst oder fehlerfrei nachimplementierst ist sehr unwahrscheinlich, und eine entsprechende Aussage würde unter Kryptologen ein schallendes Gelächter entlocken.


    Die Wahrscheinlichkeit, dass der verschlüsselte PC nicht neu gebootet wurde, und der Speicher nicht überschrieben wurde, ist gering. Den einzigen Fehler, den der Programmierer (oder die Programmiererin) gemacht hat war den Kill-Switch auf eine einzelne Domäne zu setzen (wobei auch bei mehreren Domänen die einfach registriert werden hätten können).

    Anscheinend hat wannacry einfach viele Tränen verursacht, weil sehr sehr viele Ressourcen aufgewendet wurden (Analyse, Domänenregistrierung, sogar einen Bug in Windows 7 gefunden zum Wiederherstellen der Daten), um den Trojaner zu stoppen. Deshalb scheint der so ineffektiv. In Wirklichkeit wäre der - wenn sich die entsprechend kompetenten Leute etwas weniger gekümmert hätten - durch die Windows Welt gefahren wie ILoveYou.

    Wobei: wer (oder: wessen IT Abteilung) heute noch kein Backup macht und das regelmäßig testet, der ist schlicht und einfach ein Laie. Ein "Hobby-Admin", der zwischen Kartoffelschälen und Kloputzen auch mal einen Computer angreift.



    3 mal bearbeitet, zuletzt am 21.05.17 11:23 durch mhstar.

  4. Re: nicht komisch ;)

    Autor: Wallbreaker 21.05.17 - 14:58

    mhstar schrieb:
    --------------------------------------------------------------------------------
    > Bis auf den Fehler, dass Windows 7 den Speicherbereich nicht löscht, machen
    > die sogar alles genau richtig.

    Das sehe Ich völlig anders. Denn WannaCry ist design-technisch größtenteils Murks. Das einzig Gute daran war der Exploit, der letztlich nicht mal von ihnen selbst gewesen ist. Doch das Design und die Krypto-Implementierung, ist sicherheits-technischer Unsinn.

    Es fängt schon damit an, dass grundsätzlich sensible Daten auf dem PC des Opfers abgelegt werden, anstatt genutzte symmetrische Schlüssel nach Hause zu schicken. Dies könnte dann eine Kombination aus User-ID und symmetrischem Schlüssel sein, der via Public-Key verschlüsselt wird. Was aber wieder zum nächsten Nonsens führt, nämlich auf jedem Opfer-PC ein eigenes RSA-Schlüsselpaar zu generieren. Was ist das bitte? Das kostet nicht nur Leistung, nein es ist auch noch unsicher. Das einzige was hier noch den Bock abgeschossen hätte, hätten sie mit RSA die Daten verschlüsselt, was mit steigender Datenmenge rekonstruierbar wird. Man hätte nur ein einziges Schlüsselpaar generieren müssen, dann gibt man der Ransomware den Public-Key mit, womit dann der symmetrische Schlüssel verschlüsselt wird. Das wäre eine saubere Sache ohne Risiko. Wäre der PC online könnte man den symmetrischen Schlüssel nach Hause schicken, wäre er offline oder eine Firewall blockiert, bleibt die Datei eben beim Opfer, und muss an die Erpresser geschickt werden. Hinsichtlich der Online-Variante, hätte das Opfer eine User-ID die auf irgendeiner Darknet-Page übermittelt wird, und bekommt dazu den passenden symmetrischen Schlüssel nach dem Bezahlvorgang. Doch WannaCry wurde definitiv nicht von Leuten entwickelt, die wissen was sie tun. So viel Potenzial was hier komplett verschenkt wurde.

    > Das einzige was die machen hätten können wäre openssl oder eine andere
    > Library verwenden.

    Wenn dann GPG. Gerade OpenSSL hat nicht wirklich viel Vertrauen gesammelt, und muss sich erst mal wieder beweisen.

    > Bis auf solche Exoten ("Programm läuft nur unter Windows verwendet aber
    > eine eigene Library) *sollst* du die Crypto-API verwenden. Dass du selbst
    > einen Verschlüsselungsalgorithmus entwirfst oder fehlerfrei
    > nachimplementierst ist sehr unwahrscheinlich, und eine entsprechende
    > Aussage würde unter Kryptologen ein schallendes Gelächter entlocken.

    Es gibt heute so viele Krypto-Bibliotheken, ob nun NaCl, libgcrypt oder was auch immer. Wo man sich nur bedienen muss, und hat eine fertige solide und optimierte Grundbasis, wo man quasi fast nichts mehr falsch machen kann. Alleine auf die veraltete Crypto-API von Windows zu setzen, die restlichen Implemetierungen anderer Betriebssysteme um Jahre hinterher hinkt, ist bei allem Verständnis keine solide Basis. Es ist allgemein bekannt, wie Microsoft diese Thematik vernachlässigt hat. Nicht mal SHA-2 war über 10 Jahre nach Erscheinen in Windows zu finden, was erst letztes Jahr mal hinzugefügt wurde, und sogleich mal etliche defekte Systeme hinterließ. Mehr als MD5, SHA1, 3DES etc. gab es hier nicht. Immerhin gibt es noch AES, aber selbst das nur via anfälligem CBC-Modus, der auch Bitlocker zugrunde liegt. Da ist man definitiv besser dran, sich etwas eigenes zu bauen.

    > Die Wahrscheinlichkeit, dass der verschlüsselte PC nicht neu gebootet
    > wurde, und der Speicher nicht überschrieben wurde, ist gering. Den einzigen
    > Fehler, den der Programmierer (oder die Programmiererin) gemacht hat war
    > den Kill-Switch auf eine einzelne Domäne zu setzen (wobei auch bei mehreren
    > Domänen die einfach registriert werden hätten können).

    Es gibt Systeme die laufen mitunter Wochen und Monate, und gerade heute wird das unter Windows mit Standby und Co. geradezu gefördert. Ein Programm muss seinen Speicherbereich immer selbst löschen, alles andere ist schlechte Praxis.

    > In Wirklichkeit wäre der - wenn sich die entsprechend kompetenten Leute etwas weniger gekümmert hätten - durch die Windows Welt gefahren wie ILoveYou.

    Ich finde es traurig, dass so etwas im Jahre 2017 noch möglich ist, dass sich Schädlinge von Windows zu Windows verbreiten können. Da kann man nur hoffen, dass hier einige Leute endlich aufwachen, dass dieses Betriebssystem in sicherheits-kritischen Bereichen nichts verloren hat. Wozu muss bspw. ein Automat oder eine Anzeigetafel mit Windows laufen? Da macht man ein Minimalsystem samt Minimalhardware, und die Sache hat sich erledigt. Aber nein es müssen voll aufgeblasene Windowssysteme sein, die mit GB an Daten aufwarten und Unmengen an Angriffsfläche. Nur wahnsinnige Entscheidungsträger können so etwas gut finden.

    > Wobei: wer (oder: wessen IT Abteilung) heute noch kein Backup macht und das
    > regelmäßig testet, der ist schlicht und einfach ein Laie. Ein
    > "Hobby-Admin", der zwischen Kartoffelschälen und Kloputzen auch mal einen
    > Computer angreift.

    Eigentlich sind Backups das Minimum. Doch trauriger finde Ich wie sehr hier ausschließlich ,z.B. bei Heise auf Backups gepocht wird, die in erster Linie rein gar nichts mit PC-Sicherheit zutun haben. Grundsätzlich ist ein Backup eine Ausfallsicherung für den Notfall, und kein Sicherheitskonzept bzw. allenfalls ein Teil davon. Wenn man also nur Backups macht, und sich weiterhin dumm und fahrlässig verhält, dann lernt man niemals etwas dazu, und kann immer wieder Opfer derselben Probleme werden. Und wenn man den Feind sozusagen schon so weit kommen lässt, dass Backups notwendig werden, dann hat das ganze Sicherheitskontept vollkommen versagt. Aber wie gewohnt lohnt es sich nicht sich aufzuregen.



    2 mal bearbeitet, zuletzt am 21.05.17 15:08 durch Wallbreaker.

  5. Re: nicht komisch ;)

    Autor: TechnikSchaaf 21.05.17 - 20:14

    mhstar schrieb:
    --------------------------------------------------------------------------------

    > Wobei: wer (oder: wessen IT Abteilung) heute noch kein Backup macht und das
    > regelmäßig testet, der ist schlicht und einfach ein Laie.
    Nicht ganz, das ist einfach ein normaler ITler in einem mittleren oder kleineren Unternehmen der weder Geld nocht Zeit bekommt das vernünftig aufzuziehen und zu testen.
    Beschissen, fahrlässig, kurzsichtig aber nun mal Realität.

    Das ein kleines Familien Unternehmen her geht und Zeit und Geld bereitstellt und auch die anderen Mitarbeiter die Zeit und Geduld aufbringen um nicht nur Neuerungen einführen zu können sondern auch 2mal tägliches BackUp mit physikalisch getrennten Speicherorten zu ermöglichen und dann auch noch bereit ist das zu testen ist leider die absolute Ausnahme.

    Hat sich aber schon nach kurzer Zeit bezahlt gemacht als ein Laptop die Baustelle nicht überstanden hat.




    > Ein
    > "Hobby-Admin", der zwischen Kartoffelschälen und Kloputzen auch mal einen
    > Computer angreift.
    Oder eben jemand der mit dem Budget obigen Familienunternehmens alleine für weit über 3000 Mitarbeiter (nicht alle mit PC allerdings) in einer hoch inhomugenen IT Landschaft an zig Standorten verantwortlich ist und da nicht nur alles am laufen halten muss sondern auch verbesserte Abläufe einführen soll und alles für wechselnde Anforderungen passend machen muss.

    Mit dem möchte ich echt nicht tauschen.

  6. Re: nicht komisch ;)

    Autor: DanielSchmalen 21.05.17 - 22:19

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > mhstar schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Bis auf den Fehler, dass Windows 7 den Speicherbereich nicht löscht,
    > machen
    > > die sogar alles genau richtig.
    >
    > Das sehe Ich völlig anders. Denn WannaCry ist design-technisch größtenteils
    > Murks. Das einzig Gute daran war der Exploit, der letztlich nicht mal von
    > ihnen selbst gewesen ist. Doch das Design und die Krypto-Implementierung,
    > ist sicherheits-technischer Unsinn.
    >
    > Es fängt schon damit an, dass grundsätzlich sensible Daten auf dem PC des
    > Opfers abgelegt werden, anstatt genutzte symmetrische Schlüssel nach Hause
    > zu schicken. Dies könnte dann eine Kombination aus User-ID und
    > symmetrischem Schlüssel sein, der via Public-Key verschlüsselt wird. Was
    > aber wieder zum nächsten Nonsens führt, nämlich auf jedem Opfer-PC ein
    > eigenes RSA-Schlüsselpaar zu generieren. Was ist das bitte? Das kostet
    > nicht nur Leistung, nein es ist auch noch unsicher. Das einzige was hier
    > noch den Bock abgeschossen hätte, hätten sie mit RSA die Daten
    > verschlüsselt, was mit steigender Datenmenge rekonstruierbar wird. Man
    > hätte nur ein einziges Schlüsselpaar generieren müssen, dann gibt man der
    > Ransomware den Public-Key mit, womit dann der symmetrische Schlüssel
    > verschlüsselt wird. Das wäre eine saubere Sache ohne Risiko. Wäre der PC
    > online könnte man den symmetrischen Schlüssel nach Hause schicken, wäre er
    > offline oder eine Firewall blockiert, bleibt die Datei eben beim Opfer, und
    > muss an die Erpresser geschickt werden. Hinsichtlich der Online-Variante,
    > hätte das Opfer eine User-ID die auf irgendeiner Darknet-Page übermittelt
    > wird, und bekommt dazu den passenden symmetrischen Schlüssel nach dem
    > Bezahlvorgang. Doch WannaCry wurde definitiv nicht von Leuten entwickelt,
    > die wissen was sie tun. So viel Potenzial was hier komplett verschenkt
    > wurde.
    >

    Diese Aussagen halte ich für sehr arrogantes, theoretisches Wissen und wenig fundiert. Ich stimme zu, dass das Potenzial durchaus größer gewesen ist, insbesondere mit dem Kill-Switch, doch die Verschlüsselung an sich ist definitiv kein "sicherheits-technischer Unsinn". Natürlich könnte man es so machen, wie du es beschrieben hast, was vermutlich das theoretische Optimum ist, ist es jedoch praktikabel? Vielleicht wollte man nicht, dass die Ransomware nachhause telefoniert und so symmetrische Schlüssel über ein unsicheres Netzwerk schickt?

    Es ist leicht im nachhinein als Außenstehender etwas zu behaupten, doch die meisten Sachen haben mehr als nur eine Betrachtungsperspektive.

    > Ich finde es traurig, dass so etwas im Jahre 2017 noch möglich ist, dass
    > sich Schädlinge von Windows zu Windows verbreiten können. Da kann man nur
    > hoffen, dass hier einige Leute endlich aufwachen, dass dieses
    > Betriebssystem in sicherheits-kritischen Bereichen nichts verloren hat.
    > Wozu muss bspw. ein Automat oder eine Anzeigetafel mit Windows laufen? Da
    > macht man ein Minimalsystem samt Minimalhardware, und die Sache hat sich
    > erledigt. Aber nein es müssen voll aufgeblasene Windowssysteme sein, die
    > mit GB an Daten aufwarten und Unmengen an Angriffsfläche. Nur wahnsinnige
    > Entscheidungsträger können so etwas gut finden.

    Auch hier triffst du einfach Annahmen als Außenstehender, die absolut unnötig sind. Da die Wahrscheinlichkeit gering ist, dass du bei der Bahn für Automaten bzw. Anzeigetafeln zuständig bist, frage ich mich woher du das Wissen hast, das ein Windows System an dieser Stelle Unfug ist? Kennst du die Programme, die auf den Rechnern für die Automaten/Anzeigetafeln laufen? Weißt du wie diese intern funktionieren? Weißt du wie diese zentral gesteuert werden? Ist es ggf. ein "historisch-gewachsenes" Konstrukt, was man aufgrund des Aufwands nie in ein ggf. anderes System (bspw. Linux System) überführen konnte?

    Wenn man solche Behauptungen im Internet aufstellt, sollte man bisschen vorsichtig sein. Nicht um sonst sagt man: Urteile niemals über ein Projekt, an dem du nicht beteiligt warst.

    Vermutlich wäre es die beste Lösung auf ein kleines, kompaktes Linux umzusteigen, welches nur die nötigsten Dienste zur Verfügung stellt und zentral leicht gesteuert werden kann. Was aber wenn auf einmal eine Anforderung herangetragen wird, welche nicht durch diese Distribution/dieses System angedeckt werden kann? Wird es aufgebohrt? Wird es ersetzt durch ein anderes Kompaktsystem? Oder vielleicht doch wieder zurück zu einem System was die große Vielfalt an Möglichkeiten bringt?

    Alles was ich sagen möchte ist, sei vorsichtig mit so extrem wagen Behauptungen. Solange du nicht die internen Details kennst, ist es unangebracht ein Systemdesign als Unsinn, Unfug oder Mist abzustempeln ;)



    1 mal bearbeitet, zuletzt am 21.05.17 22:21 durch DanielSchmalen.

  7. Re: komisch...

    Autor: Silberfan 22.05.17 - 06:29

    Rulf schrieb:
    --------------------------------------------------------------------------------
    > kennen die kriminellen keine sicheren verschlüsselungsmethoden?...
    >
    > mir ist schon klar, daß sich die gauner in erster linie selber schützen
    > müssen...
    > aber wieviel profit bringt denn ein neuer trojaner, der gleich wieder
    > entschärft wurde?...
    >
    > nächste frage: wie entwickelt man so ein tool?...
    > wird da solange gezahlt, bis die gauner mal einen code oder tool
    > liefern?...
    Ich finde es auch sehr sehr schade das diese Infizierung nur so kurz war. Sie hätte ruhig länger andauern können. Damit hätte man evtl. die Leute zum Umstieg "Liebevoll" überreden können. Und dabei denke ich nicht an Windoof 8/8.1/10
    Ich hoffe das irgendwann wieder so ein ähnlicher Virus kommen wird der keine Fehler hat und es richtig macht. Damit endlich mal die Leute nachdenklich werden und auf z.B. Linux umsteigen. Aber wie man weis die Hoffnung stirbt zuletzt.
    Nur zur Info ich Hasse Windows ,egal welche Version !

  8. Re: komisch...

    Autor: bazoom 22.05.17 - 14:58

    Silberfan schrieb:
    > Nur zur Info ich Hasse Windows ,egal welche Version !

    Danke das du uns an deinem Leben teilhaben lässt ;)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Stadt Radevormwald, Radevormwald
  2. RATIONAL Wittenheim SAS, Wittenheim (Frankreich)
  3. Universitätsklinikum Bonn, Bonn
  4. Upshift Media GmbH, Taunusstein bei Wiesbaden

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 28,99€
  2. (u. a. Star Wars Episode I Racer für 1,93€, Star Wars: The Force Unleashed - Ultimate Sith...
  3. (u. a. Borderlands: The Handsome Collection für 13,99€, Sid Meier's Civilization VI für 13...


Haben wir etwas übersehen?

E-Mail an news@golem.de