1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Spionage: Auf der Jagd nach…

Frage eines Laien

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Frage eines Laien

    Autor: diclonyuus 06.03.15 - 12:03

    Hallo zusammen,

    beim Lesen des Artikels bin ich an diesem Teil hier gestolpert:

    >"Alle Fähigkeiten in denselben Teil einer Malware zu stecken, sei für sie zu risikoreich. Denn wer dieses eine Programm findet, könne "die ganze Geschichte rekonstruieren und wahrscheinlich erraten, was genau das Ziel der Angreifer war".
    >Wer war's wirklich?

    >An dieser Stelle stoßen er und seine Kollegen deshalb an ihre Grenzen. Sie wissen, wie sich Casper verbreitete, wo er das tat, was er kann. Aber wer dahintersteckt, können sie nicht mit letzter Sicherheit sagen."

    Meinem Verständnis nach heißt diese Formulierung, dass die Ermittler in diesem Fall nicht vorankommen, da Casper zunächst den PC ausspäht, bevor er seine ganzen Pakete herunterlädt - und eben an diese kämen die Ermittler nicht ran. Wenn die Ermittler an diese zusätzlichen Toolpakete herankämen, könnten sie mehr über den Ersteller der Malware herausfinden - so verstand ich diesen Satz.

    Ich würde mich sehr darüber freuen, wenn mich jemand hier aufklären könnte: Entweder, ich habe oben genannte Formulierung falsch verstanden (dann würde ich um eine Umformulierung bitten, damit ich das auch verstehen kann, wäre nett!). Oder, ich habe sie richtig verstanden, dann habe ich aber andere Fragen, und es wäre nett, wenn man mich auch hier belehren kann! Hier hole ich evtl. etwas aus:

    Die Ermittler haben den Namen einer zentralen .dll, die der Trojaner installiert. Diesen haben sie, da der Name der .dll im Code vorkommt. Außerdem wissen sie, dass der Trojaner 2 Zero-Days im Flash Player ausnutzt (auch vom Code?) - daher gehe ich davon aus, dass sie Zugriff auf den Trojaner selbst oder auf ein infiziertes System haben. Ist das richtig (falls nein, wie kommen sie an die .dll und das Wissen um die genutzten Zero days)?

    Falls ich auch hier immer noch nicht komplett vom Weg abgekommen bin (und da ich Laie bin, dürfte ich hier schon total aufm Feldweg sein), dann frage ich mich, warum die Ermittler nicht an die anderen Pakete kommen. Es klingt in meinen Ohren recht simpel - einfach auf ein System aufspielen, das keinen Antivirus hat - das System richtig infizieren lassen - dann die Festplatte in einem isolierten System untersuchen. Da die Ermittler sicherlich um einiges kompetenter sind als ich - warum genau ist dies anscheinend nicht möglich?

    Vielen Dank im Voraus dafür, falls sich hier jemand die Zeit nimmt, einen Laien zu unterrichten!

    Gruß,
    diclonyuus

  2. Re: Frage eines Laien

    Autor: angrydanielnerd 06.03.15 - 12:17

    Wenn ich das richtig verstanden habe, wurde nur das Infektions- und Kern-Modul der Software gefunden. Dieses sammelt Daten über den PC und falls dieser nicht interessant ist, werden gar keine weiteren Module von extern nachgeladen.

  3. Re: Frage eines Laien

    Autor: r3d_sp1r1t 06.03.15 - 12:30

    dann wäre der nächste schritt wohl den honey pot interessant zu machen.

  4. Re: Frage eines Laien

    Autor: .02 Cents 06.03.15 - 12:37

    Mir ist die Formulierung auch nicht 100% klar - ich gehe davon aus, dass das Nachladen möglicherweise kein automatischer Schritt ist, und / oder nicht lokal auf dem infizierten Rechner stattfindet, sondern in der Steuerzentrale. Eine Analyse von Code auf dem infizierten Rechner hilft in dem Fall nichts, und man muss auch davon ausgehen, das die Angreifer das Konzept des Honeypot kennen.

    So wie ich das ganze verstehe, ist diese Software ja nur der Einstiegspunkt über den dann im Prinzip beliebige Spähprgramme nachinstalliert werden können. Ich bin mir von daher gar nicht sicher, das es überhaupt eine vollständige Liste aller Module geben kann - was sollte denn diejenigen, die diesen Angriff kontrollieren, davon abhalten neue und / oder modifizierte Spionage Software nachzuinstallieren?

    Im übrigen habe ich auch nicht verstanden, was es helfen würde, wenn man eine vollständige Liste hätte - sicher kann man Dinge nachvollziehen und korrelieren, aber es wäre schon etwas merkwürdig, wenn man in einem solchen Modul komplette AGBs, Urhebernotizen, Beschwerdehotlines etc finden würde. Bei jedem Modul dürften auch Benachrichtigungs- und Steuer-Meachnismen genauso über gehackte, verschleierte etc Server laufen - und wer könnte so etwas besser, als eine staatliche Stelle. So lange man nicht an Dokumente der Auftraggeber kommt, wird es keinen vollständigen Beweis geben. Wie der Artikel gegen Ende auch sagt: Es sollte eigentlich reichen, wenn man eine Indizien Kette bilden kann, die mit einiger Wahrscheinlichkeit auf Ross und Reiter zeigt, das man diese auch benennt. Von demokratisch legitimierten Institutionen müsste man dann erwarten, das diese Gegenbeweise oder zumindest Indizien vorlegen. Dummerweise werden diese Dienste aber ausserhalb von Recht und demokratischer Verantwortung bzw Verantwortlichkeit betrieben, was ein zentraler Teil des Problems ist ...

  5. Re: Frage eines Laien

    Autor: kontra 06.03.15 - 13:25

    Es wird keine vollständige Liste der nachzuladenden Module geben können. Das ist ja das Schöne an so einem Plugin-System: Man kann nach Bedarf nachträglich immer neue Plugins schreiben und verteilen...

  6. Re: Frage eines Laien

    Autor: minecrawlerx 06.03.15 - 14:36

    .02 Cents schrieb:
    --------------------------------------------------------------------------------
    > AGBs, Urhebernotizen, Beschwerdehotlines etc finden würde.

    AGBs und Beschwerdehotlines für Malware..... made my day :D

    "Guten Tag, ich habe ein Problem mit Ihrem Trojaner. Er funktioniert bei mir nicht richtig und wird immer von meinem AV gelöscht! Was soll ich tun?"

  7. Re: Frage eines Laien

    Autor: diclonyuus 06.03.15 - 16:03

    minecrawlerx schrieb:
    --------------------------------------------------------------------------------
    > .02 Cents schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > AGBs, Urhebernotizen, Beschwerdehotlines etc finden würde.
    >
    > AGBs und Beschwerdehotlines für Malware..... made my day :D
    >
    > "Guten Tag, ich habe ein Problem mit Ihrem Trojaner. Er funktioniert bei
    > mir nicht richtig und wird immer von meinem AV gelöscht! Was soll ich tun?"

    Have you tried turning it off and on again?

  8. Re: Frage eines Laien

    Autor: __destruct() 07.03.15 - 03:24

    Vielleicht hat man nur eine Raubmordkopie, weswegen er nicht richtig funktioniert. "Für nur 59.99 $ können Sie eine Lizenz in einem dieser Online-Shops erwerben: [...]"

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT System Administrator (m/w/d) Schwerpunkt Netzwerk
    Hirschvogel Holding GmbH, Denklingen
  2. Stabsstelle Prozess- und Qualitätsentwicklung der Schulen (m/w/d)
    Institut für soziale Berufe Stuttgart gGmbH, Stuttgart
  3. Director of global SW Test (m/f/d)
    Advantest Europe GmbH, Böblingen
  4. Cyber Security Engineer/IT Security (m/w/d)
    Eurowings Aviation GmbH, Köln

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 68,99€ (versandkostenfrei)
  2. 349,99€ Neonrot/Neonblau (lieferbar ab 17.12.), 359,99€ Weiß (lieferbar ab 15.12.)
  3. 44,99€/Monat für 24 Monate + 45,98€ einmalige Kosten (Lieferzeit ca. 7 Wochen)
  4. 39,99€/Monat für 24 Monate + 45,98€ einmalige Kosten (Lieferzeit ca. 7 Wochen)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Energiewende: Akkupreise steigen wegen zu hoher Rohstoffkosten
Energiewende
Akkupreise steigen wegen zu hoher Rohstoffkosten

Die Party ist vorbei. Statt billiger, sollen Akkus durch neue Rekorde beim Lithiumpreis und anderen Rohstoffen im Jahr 2022 sogar teurer werden.
Eine Analyse von Frank Wunderlich-Pfeiffer

  1. Nachhaltigkeit Mehr Haushalte investieren in die Energiewende
  2. P2P-Energiehandel Lieber Nachbar, hätten Sie noch etwas Strom für mich?
  3. Erneuerbare Energien Schottland plant ersten Windpark mit Wasserstoffgewinnung

Ada & Zangemann: Das IT-Märchen, das wir brauchen
Ada & Zangemann
Das IT-Märchen, das wir brauchen

Das frisch erschienene Märchenbuch Ada & Zangemann erklärt, was Software-Freiheit ist. Eine schöne Grundlage, um Kinder - aber auch Erwachsene - an IT-Probleme und das Basteln heranzuführen.
Eine Rezension von Sebastian Grüner

  1. Koalitionsvertrag Ampelkoalition will Open Source in Verwaltung bevorzugen
  2. Open Source OBS erzürnt über Markenverletzung durch Logitech-Tochter
  3. Jailbreak Weitgehende DMCA-Ausnahmen für Open Source

Raumfahrt: Rocketlab entwickelt eine bessere Rakete als die Falcon 9
Raumfahrt
Rocketlab entwickelt eine bessere Rakete als die Falcon 9

Rocketlab zeigt eine moderne wiederverwendbare Rakete, die trotz einer teilweise fragwürdigen Präsentation sehr ernst genommen werden muss.
Eine Analyse von Frank Wunderlich-Pfeiffer

  1. Astra Billigrakete aus Alaska erreicht erstmals den Erdorbit
  2. Nach Satelliten-Abschuss Russische Behörde sieht keine Gefahr für ISS
  3. Satellitenabschuss Russische Provokation gefährdet ISS und Satelliten