Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Tor-Netzwerk: Erpresser mit Video…

Wie geht das technisch?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


  1. Wie geht das technisch?

    Autor: AlexanderSchäfer 09.08.17 - 11:00

    Mich würde mal interessieren wie das FBI es geschafft hat, einen Videocode so einzubetten, dass automatisch ein Server kontaktiert wird. Gibt es Videoformate bei der ein Player einen fremden Code automatisch downloaded oder war das einfach eine .exe die dem Video beigelegt wurde.

    Sonst könnte man natürlich auch einfach eine .asx Datei für Webstreams in .mkv umbenennen und hoffen, dass das Opfer VLC oder einen ähnlichen Player verwendet, der die Dateiendung ignoriert und direkt versucht den Stream zu starten. Damit das nicht auffällt kann man ja die Datei noch mit Zufallszahlen auf eine glaubwürdige Größe bringen.

  2. Re: Wie geht das technisch?

    Autor: R00toym 09.08.17 - 11:12

    https://de.wikipedia.org/wiki/Steganographie

    Ist genau das selbe.

  3. Re: Wie geht das technisch?

    Autor: AlexanderSchäfer 09.08.17 - 11:16

    Was soll damit Steganographie zu tun haben? Das Problem ist ja dass der Player automatisch einen Server kontaktieren bzw. die eingebettete Datei selbständig ausführen muss.

  4. Re: Wie geht das technisch?

    Autor: stulle 09.08.17 - 11:18

    Also mit Steganographie hat das meines Erachtens auch nichts zu tun. Aber mich würde das auch mal interessieren.

  5. Re: Wie geht das technisch?

    Autor: flippo00 09.08.17 - 11:22

    einfachste möglichkeit: er hat die dropbox ohne tor geöffnet.
    andere möglichkeit: exploit im video und er hat einen damit angreifbaren player verwendet.

  6. Re: Wie geht das technisch?

    Autor: Mingfu 09.08.17 - 11:26

    Details dazu wurden in der Anklageschrift nicht genannt. Der Versuch, das Abspielen auf einen externen Player zu verlagern, ist natürlich denkbar.

    Die nicht minder unwahrscheinliche Alternative ist allerdings, dass es eine Sicherheitslücke im Browser oder in den durch das Betriebssystem zusammen mit den Grafikkartentreibern bereitgestellten hardwarebeschleunigten Videodekodierfunktionen gibt. Gerade in diesen Medienabspielfunktionen haben sich in der Vergangenheit schon häufig sicherheitsrelevante Fehler gezeigt. Ich würde deshalb davon ausgehen, dass entsprechenden Kreisen dort mehrere Möglichkeiten zur Ausführung von eingeschleustem Code bekannt sind.

  7. Re: Wie geht das technisch?

    Autor: R00toym 09.08.17 - 11:26

    Trägermedium ist in dem Fall das Video, in dem Video werden Exploits für diverse Player gesteckt. Ende der Geschichte.

    Früher nannte man Steganographie nur "Binder", 2 Sachen zu einer fügen ohne das es offensichtlich auffällt.

    Da ist weder was Spektakuläres dran noch sonst was. Es ist eher eine Schande das der Typ anscheint weder seinen eigenen Anschluss via VPN getunnelt hat und von dort ins Tor geht noch einen "Heim-Proxy" hatte der ihm einen TOR Namespace aufmacht zum surfen / laden etc.

  8. Re: Wie geht das technisch?

    Autor: R00toym 09.08.17 - 11:29

    Mingfu schrieb:
    --------------------------------------------------------------------------------
    > Betriebssystem zusammen
    > mit den Grafikkartentreibern bereitgestellten hardwarebeschleunigten
    > Videodekodierfunktionen gibt.

    Genau, weil man es sich SO kompliziert machen muss.

  9. Re: Wie geht das technisch?

    Autor: Mingfu 09.08.17 - 11:35

    R00toym schrieb:
    --------------------------------------------------------------------------------
    > Da ist weder was Spektakuläres dran noch sonst was. Es ist eher eine
    > Schande das der Typ anscheint weder seinen eigenen Anschluss via VPN
    > getunnelt hat und von dort ins Tor geht noch einen "Heim-Proxy" hatte der
    > ihm einen TOR Namespace aufmacht zum surfen / laden etc.

    Was soll das dann noch bringen? Wenn wir davon ausgehen, dass durch eine Sicherheitslücke Code lokal ausgeführt werden kann, ist eigentlich nichts mehr zu retten. Natürlich könnte man dafür sorgen, dass ein simpler Ping oder Abruf einer URL damit noch nicht sofort über die eigene IP rausgeschickt wird. Aber wenn der Rechner erst einmal kompromittiert ist, ist die Identfizierung nur noch eine Frage der Zeit.

  10. Re: Wie geht das technisch?

    Autor: Mingfu 09.08.17 - 11:38

    Ich frage mich eher, wie du es dir einfacher machen willst, wenn wir mal davon ausgehen, dass der Täter das Video auf Dropbox direkt im Browser angesehen hat. Dropbox bietet entsprechende Streaming-Funktionalität an, insoweit wäre das erst einmal die plausibelste Annahme.

  11. Re: Wie geht das technisch?

    Autor: h4z4rd 09.08.17 - 11:43

    Nicht wenn er mit einer neutral gehaltenen VM arbeitet, die nach jeder Nutzung wieder in den Ursprungszustand zurückversetzt wird und ausschließlich über das Tor-Netzwerk online gehen kann.

  12. Re: Wie geht das technisch?

    Autor: Mingfu 09.08.17 - 11:48

    Die VM-Isolierung hat in der Vergangenheit auch schon mehrere Lücken gehabt. Da würde ich meine Hand nicht für ins Feuer legen. Sicher wird es hier komplex, aber letztlich hat man es auf der Gegenseite mit Akteuren zu tun, die hohes Interesse und ausreichend Ressourcen haben, um sich mit entsprechenden Exploits einzudecken.

    Edit: Und noch als Zusatz - wir reden hier über Videos. Dort ist man auf Hardwarebeschleunigung angewiesen, weil Softwaredekodierung viel zu langsam wäre. Die Grafikkarte stellt aber definitiv eine Ausbruchsmöglichkeit aus jeder VM dar, weil sie mangels entsprechender Hardwareunterstützung nicht in das Isolationskonzept eingebunden werden kann.



    1 mal bearbeitet, zuletzt am 09.08.17 11:53 durch Mingfu.

  13. Re: Wie geht das technisch?

    Autor: h4z4rd 09.08.17 - 11:52

    Bin nicht so sicher ob du mit "Binder" (vermutlich Linker?) hier das selbe meinst wie Steganographie. Bei einem Linker werden mehrere Programmmodule zu einem Programm zusammengefügt. Der Unterschied zur Steganographie liegt darin, dass bei ersterem die Daten nicht versteckt, sondern lediglich zusammengefügt werden.

    Bei der Steganographie sollen Daten in einem Container so versteckt werden, dass
    es für den Betrachter des Containers nicht ersichtlich wird, dass überhaupt etwas darin
    versteckt ist. Z.B. könnte man Text in den 1-2 niedrigsten bits der Farbkanäle einer Bitmap verstecken. Dies würde das Bild nur unwesentlich verändern und wäre darum ohne das wissen, über die Versteckten Daten nicht auffindbar.

  14. Re: Wie geht das technisch?

    Autor: h4z4rd 09.08.17 - 11:58

    Ok, stimmt auch, also doch lieber auf Hardware mit Reborn-card.

  15. Re: Wie geht das technisch?

    Autor: asca 09.08.17 - 13:36

    Ich würde mal vermuten, dass irgendein Videoformat genommen wurde, dass z.B. Vorschaubilder, Lizenzdaten, ... noch zusätzlich mit enthalten kann. (Video-)Formate sind ja heutzutage meist deutlich mehr, also nur das Vordergründige. Bei vielen MediaPlayern beim ersten Start wird ja meist auch irgendwelcher Krams gefragt, ob automatisch Medieninformationen, Lizenzdaten, DRM-Überprüfungen ... pi pa po abgefragt werden soll.

    Meine Vermutung ist, dass somit da irgendwo in der Datei hinterlegt wurde - sinngemäß:
    Hey Mediaplayer, weitere Infos zur Datei findest du hier: http://track.fbi.gov/case_12345

    Startet man nun das Video, so versucht der MediaPlayer da abzufragen. Da nicht selten Tor nur so konfiguriert ist, dass eben ein einzelner Browser rüberläuft und nicht sämtlicher Verkehr vom PC, führt dies dazu, dass somit die IP-Adresse beim FBI bekannt wird.
    Man müsste halt entweder einen Player nutzen, der nicht ungefragt irgendwo via HTTP was abfragt oder halt sämtlichen Verkehr über Tor leiten oder die Applikation-Firewall so einstellen, dass eben nur der Browser auch wirklich Kontakt nach draußen aufnehmen kann.
    Alles bei den meisten Leuten nicht der Fall.

    Ich glaub hier nicht wirklich an eine besondere Lücke die in irgendeinem Player ausgenutzt wurde. Dazu müsste man ja ein Toolkit irgendwie beim Abspielen abfeuern, weil man ja nicht weiß, welcher Player es öffnen würde. Ich denke hier eher, dass tatsächlich ein "Feature" im Format drinsteckt und somit der Player direkt Kontakt aufnahm. Würde auf Features aus dem DRM-Umfeld tippen (automatisches Prüfen, ob Abspiel-Rechte bestehen oder so'n Krams).

    Gruß,
    asca

  16. Re: Wie geht das technisch?

    Autor: chefin 09.08.17 - 13:40

    Jeder Player muss schauen ob der Codec vorhanden ist. Nahezu jeder Player (Einschränkung deswegen, weil ich eben nicht alle kenne) schaut bei unbekannten Codecs nach ob er sie irgendwo runter laden kann. Hier setzt nun ein solcher Exploid an. Man manipuliert das Video so das es den Player anregt, nachzuladen. zB wenn der Stream 2 Videoformate hat und 3 Tonspuren, Spur1 unbekannter Codec 1080p, Spur2 Mpeg2, 720p. Spur1 ist hochauflösender, wird also vorrangig abgespielt. Und schon fragt der Player nach ob Codec xyz bekannt ist. Codecs haben Nummer, man nimmt eine Nummer die sonst keiner verwendet. Wenn nach dem Download kein anderer die Nummer nachfragt, weis man wem man auf die Finger schauen muss. Und wenn man das erstmal weis, ist das Beweise sammeln einfach. Provider installiert Backdoor, alles wird protokolliert.

    Wen man jemanden erstmal im Visier hat, finden sich auch genug Indizien für eine Hausdurchsuchung.

    PS: man wird nie dauerhaft über TOR surfen, weil es Arschlahm ist und miese Pings hat. Logisch, weil es ja mindestens durch 3 Rechner geht, die es jeweils neu verschlüsseln, die nicht unbedingt als Serverfarm mit Loadbalancer laufen sondern als standalone Maschine auf finanzieller Sparflame. Zum Chatten und sich gegen Staatliche Schnüffelei zu schützen muss man keine hohe Speed haben. Als Normaluser hingegen wird man es nur benutzen, solange man etwas zu verstecken hat.

    PS: schon mal überlegt, wieso man bei einigen Videos im Explorer eine Vorschau sieht? Denk mal drüber nach, welcher Player das macht und wie er sowas machen kann, wenn er sich die Datei nicht ganz genau ansieht.

  17. Re: Wie geht das technisch?

    Autor: xVipeR33 09.08.17 - 13:49

    Das ist nicht korrekt, auf den meisten Intel/AMD CPUs ist Software-Dekodierung für alles unterhalb 4K und HEVC möglich. Selbst die Atoms schaffen 1080p H.264 auf der CPU.

  18. Re: Wie geht das technisch?

    Autor: M. 09.08.17 - 13:55

    > Ich denke hier eher, dass tatsächlich ein "Feature" im Format drinsteckt
    > und somit der Player direkt Kontakt aufnahm. Würde auf Features aus dem
    > DRM-Umfeld tippen (automatisches Prüfen, ob Abspiel-Rechte bestehen oder
    > so'n Krams).
    Das wuerde ich auch vermuten, und DRM-Features sind immer ein guter Kandidat dafuer. So koennen z.B. WMV-Streams Windows Media DRM mit Online-Pruefung enthalten ...

    There's no sense crying over every mistake,
    you just keep on trying 'till you run out of cake.

  19. Re: Wie geht das technisch?

    Autor: chefin 09.08.17 - 13:58

    Du hast keinen Plan wie eine Videodatei aufgebaut ist, nicht wahr?

    Im Header steht drin, welcher Codec benutzt wird. Das ist eine 16 Bit zahl (oder neuerdings glaube ich sogar eine 32Bit Zahl). Soviele Codecs gibts aber nicht, folglich sind nicht alle Zahlen bekannte und installierte Codecs. Ich muss also nur eine Zahl hinschreiben, die es nicht gibt. Der Player geht nun davon aus, das es neue Codecs gibt, von denen er nichts weis und fragt nach.

    Damit die Datei nicht sofort gelöscht wird, muss allerdings ein Inhalt da sein. Deswegen 2 Videospuren, sonst würde der Täter sie nur einmal kurz testen und dann löschen, möglicherweise sogar mit aktivem TOR und damit wieder anonymisert. Man muss also irgendwie die Situation schaffen, das er es anschaut, wenn TOR gerade nicht aktiv ist.

    Vieleicht wird das sogar schon durchs Vorschaubild, das Windows im Explorer erzeugt, ausgelöst. Dann wird die Nachfrage nach dem Codec an Microsoft geschickt. Und diese Codecnummer fragt eben sonst keiner an ausser dem Täter.

    Das hat nichts mit dem Können von PCs zu tun. Sondern ist eine Komfortfunktion um alles mögliche abzuspielen ohne das man sich den Wolf sucht um den richtigen Codec zu finden. Es gibt aktuell ca 200 verschiedene Videocodecs, wenn man alle zusammenrechnet die im Laufe der Jahre existiert haben.

  20. Re: Wie geht das technisch?

    Autor: Bluejanis 09.08.17 - 17:48

    Und wie kommt das FBI an die Codecabfrage? Der Player wird ja wohl nicht direkt beim fbi nachfragen.
    Überwachen die alle möglichen Seiten für Codecabfragen oder einfach das ganze Netz und hoffen, dass die gleiche Id irgendwo wieder auftaucht?

  1. Thema
  1. 1
  2. 2

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. NORDAKADEMIE, Elmshorn
  2. Universitätsklinikum Münster, Münster
  3. LEW Service & Consulting GmbH, Augsburg
  4. LORENZ Life Sciences Group, Frankfurt am Main

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 659,00€
  2. 227,74€ (Bestpreis!)
  3. 69,90€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Mobile-Games-Auslese: Magischer Dieb trifft mogelnden Doktor
Mobile-Games-Auslese
Magischer Dieb trifft mogelnden Doktor

Ein Dieb mit Dolch in Daggerhood, dazu ein (historisch verbürgter) Arzt in Astrologaster sowie wunderschön aufbereitetes Free-to-Play-Mittelalter in Marginalia Hero: Golem.de stellt die spannendsten neuen Mobile Games vor.
Von Rainer Sigl

  1. Hyper Casual Games 30 Sekunden spielen, 30 Sekunden Werbung
  2. Mobile-Games-Auslese Rollenspiel-Frühling mit leichten Schusswechseln
  3. Gaming Apple Arcade wird Spiele-Flatrate für iOS und MacOS

Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
Ada und Spark
Mehr Sicherheit durch bessere Programmiersprachen

Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
Von Johannes Kanig

  1. Das andere How-to Deutsch lernen für Programmierer
  2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

  1. AT&T: Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
    AT&T
    Testnutzer in 5G-Netzwerk misst 1,7 GBit/s

    Das Branchenevent AT&T Shape sollte die Filmindustrie für 5G begeistern. Oft wurden auf dem Gelände von Warner Bros. in Los Angeles bis 1,7 GBit/s gemessen.

  2. Netzausbau: Städtebund-Chef will 5G-Antennen auf Kindergärten
    Netzausbau
    Städtebund-Chef will 5G-Antennen auf Kindergärten

    Der Deutschen Städte- und Gemeindebund spricht ein Tabuthema an: 5G-Antennen auf Schulen und Kindergärten. Der Mast strahle nicht auf das Gebäude, auf dem er steht.

  3. Ladesäulenbetreiber Allego: Einmal vollladen für 50 Euro
    Ladesäulenbetreiber Allego
    Einmal vollladen für 50 Euro

    Nach und nach stellen die Ladesäulenbetreiber auf verbrauchsgenaue Abrechnungen bei Elektroautos um. Doch eichrechtskonform sind die Lösungen teilweise immer noch nicht. Dafür aber bei Anbietern wie Allego recht teuer.


  1. 19:45

  2. 19:10

  3. 18:40

  4. 18:00

  5. 17:25

  6. 16:18

  7. 15:24

  8. 15:00