Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Wanna Cry: Wo die NSA-Exploits…

Es waren nicht die Exploits der NSA

  1. Thema

Neues Thema Ansicht wechseln


  1. Es waren nicht die Exploits der NSA

    Autor: Richtig Steller 14.05.17 - 12:48

    IT-News für Profis.

    Wir leben in postfaktischen Zeiten. Wozu muss man da auf Details achten...

    Wieso berichtet ihr, dass die Exploits der NSA irgendwo gewütet hätten? Das würde voraussetzen, dass Wannacry die Binaries aus dem NSA-Leak verwenden würde, was es nicht tut.

    Wannacry nutzt lediglich die durch den NSA-Leak bekannt gewordenen Schwachstellen aus. Mit eigenem Code.

    An diese Information wären Kriminelle aber spätestens mit Veröffentlichung der Patche gelangt. Auch lässt die Zeit zwischen des ersten Auftauchens und der Veröffentlichung der Patche eher darauf schließen, als hätte die Verwundbarkeit ihren ganz normalen Weg genommen. Ohne irgendein zu tun der NSA. Oder anders gesagt:

    Hätte die NSA die Schwachstelle im Vorfeld vertraulich an Microsoft gemeldet wäre es zu einem ähnlichen Vorfall gekommen: Irgendwann hätte Microsoft die Patche veröffentlicht (wie hier im März geschehen) und 60 Tage später hätte sie dann jemand ausgenutzt und zahlreiche Systeme erwischt die bis dahin noch nicht gepatcht waren.

    Ich darf an der Stelle an den Blaster-Wurm erinnern. Ein Wurm der eine längst geschlossene Verwundbarkeit ausgenutzt hat und nur Erfolg hatte, weil eben noch nicht jedes System da draußen gepatcht war.

    Die NSA mag böse sein. Ihr Verhalten mag man kritisieren. Aber ihr die Folgen etc. in die Schuhe zu schieben ist zu einfach. Was wir hier sehen ist das Versäumnis von Systemadministratoren Fehlerkorrekturen zeitnah zu prüfen und einzuspielen.


    Hausaufgabe: Abgrenzung von Exploit zu PoC. Viel Spaß!



    1 mal bearbeitet, zuletzt am 14.05.17 12:48 durch Richtig Steller.

  2. Re: Es waren nicht die Exploits der NSA

    Autor: widardd 14.05.17 - 13:17

    Ich hab' mich auch gerade gewundert und bin dem Link hinter "die einen ursprünglich von der NSA entwickelten Exploit ausnutzt" gefolgt um die Quelle dafür zu finden.

    Dort findet sich nur eine andere Meldung in der das Wort NSA kein einziges Mal auftaucht?

    Meine Güte kommt mal von euren heatmaps und was weiß ich so weg und betreibt endlich anständigen Journalismus der diese Bezeichnung auch verdient hat.

  3. Re: Es waren nicht die Exploits der NSA

    Autor: 486dx4-160 14.05.17 - 13:30

    Natürlich sind das Exploits der NSA:
    Die NSA hat den Fehler in Windows jahrelang ausgenutzt ("exploited") um fremde Rechner zu übernehmen. Jetzt macht's halt auch jemand anders. Vielleicht hat's vorher auch schon jemand anders gemacht, vielleicht unauffälliger, aber das weiß man nicht.
    Das "S" in NSA steht für *hust* Security.

  4. Re: Es waren nicht die Exploits der NSA

    Autor: user0345 14.05.17 - 13:32

    1UP

  5. Re: Es waren nicht die Exploits der NSA

    Autor: me2 14.05.17 - 14:55

    Du scheinst hier zum einen auf Begrifflichkeiten herumzureiten. Ein "Exploit" bezeichnet nicht nur die konkrete Implementierung als Code um eine Schwachstelle auszunutzen, sondern auch schon die grundlegende Vorgehensweise um dies zu tun.


    Außerdem behauptest du, dass es bei einem Fix zu einem ähnlichen Vorfall gekommen wäre. Es ist relativ klar, dass man aus einer bereits vorgegebenen Implementierung (wie der der NSA) recht gut ableiten kann, was man tun muss um die Schwachstelle zu exploiten. Aber indirekt behauptest du, dass man aus einem Patch, der eine exploitbare Schwachstelle fixt, das ähnlich gut ableiten kann.

    Und ich denke das ist im allgemeinen eher falsch. In der Regel verrät einem der Patch nur, wo man nach den Schwachstellen suchen muss. Das kann zwar manchmal schon ausreichend sein, wie ja auch die Vergangenheit gezeigt hat. Aber normalerweise zeigt es einem das nicht auf eine "ähnliche Weise" wie ein Exploit tatsächlich umgesetzt werden muss, wie es einem eine fertige Implementierung zeigt.

    Deine These, dass es also auch zu einem ähnlichen Vorfall gekommen wäre, wenn die NSA die Schwachstelle an Microsoft gemeldet hätte, ist durchaus postfaktisch.

  6. Re: Es waren nicht die Exploits der NSA

    Autor: altneu 14.05.17 - 15:19

    Auch wenn ich deinem Argument, dass es praktisch keinen heimlichen Patch geben kann, nicht ganz zustimme, so hast du doch recht, dass es unmöglich Exploits selbst sein können, die wüten. Exploits sollten im Sprachgebrauch die Schwachstellen bleiben, und auch nicht wegen der NSA zum Wurm erklärt werden.

    Dass das dem Autor passiert, mag daran liegen, dass es Kritik an Geheimdiensten gibt, den Markt für Exploits anzutreiben. Aber dort sehe ich die Härtung eines Systems als Wichtigstes. Das soll heissen, ich gehe von einer endlichen Zahl Bugs aus und auch davon, das mit Entwicklungen wie Rust die Zahl irgendwann so eingedämmt werden kann, dass ein endloses Befeuern eines Exploitmarkes unmöglich wird. Die ganze Situation mit einem gigantischen System, das bei den meisten auf dem Schreibtisch closed source ist, ist sowieso ernüchternd.

  7. Re: Es waren nicht die Exploits der NSA

    Autor: altneu 14.05.17 - 15:39

    Der Bug kommt also doch nicht aus dem shadowbroker leak? Es war doch sogar code auf github zu sehen.

  8. Re: Es waren nicht die Exploits der NSA

    Autor: matzems 14.05.17 - 17:35

    Die NSA hat kooperiert nachweislich mit Microsoft (MS hat die bei Vista sogar stolz öffentlich verkündet) und bei Linux mit SELinux. Apple hüllt sich dazu in Schweigen, aber man muss davon ausgehen dass sie dort ebenfalls Backdoors etc nutzen.
    Weiterhin wäre die auch eine sehr kluge Strategie für die NSA: Microsoft gibt der NSA immer wieder zero day Lücken etc rüber. Diese benutzt die NSA bis sie öffentlich bekannt werden. Dann patcht MS die (komischerweise immer sofort innerhalb eines Tages, geht das so schnell?) und schiebt der NSA die nächste Zero Day rüber.
    Wer weiß was die NSA für macht und rechtliche Möglichkeiten hat geht muss davon ausgehen dass jede NSA Verschwörungstheorie was wahres hat. Man denke nur mal an den AT&T +NSA Untersuchungsausschuss.

  9. Re: Es waren nicht die Exploits der NSA

    Autor: altneu 14.05.17 - 18:47

    Der SMB bug scheint dafür zu alt zu sein, was aber auch nichts heissen muss.

    Ich nutze SELinux leider nicht und bin auch nicht bewandert mit Dingen ausser Ubuntu und ein bisschen Shell-Bedienung.

    Wegen VT: Bei Heartbleed dachte ich, dass die Hearbeat-Funktion aussergewöhnlich schlecht für ihren geringen Nutzen umgesetzt war. Ich wollte nie recht an einen Zufall glauben, aber das tut dem SSL-Autoren bestimmt sehr unrecht.

    Die Situation betreffend NSA ist einfach ernüchternd. An ein Wegkommen von Microsoft oder Closed-Source im Allgemeinen glaube ich nicht. Es könnte irgendetwas mit Binärkompatibilität und der "Nicht-Forkbarkeit" eines Systems zu tun haben, denke ich manchmal. Irgendeinen Vorteil müssen die wohl haben, zumindest wenn in 20 Jahren immer noch Microsoft als Monopol existiert. Aber die Wannacry-Geschichte hat ja auch mit den Admins und den Anhangklickern zu tun.

  10. Re: Es waren nicht die Exploits der NSA

    Autor: ww 15.05.17 - 03:38

    matzems schrieb:
    --------------------------------------------------------------------------------

    > Dann patcht MS die (komischerweise immer
    > sofort innerhalb eines Tages, geht das so schnell?)

    So ist es nicht. Der Patch war schon im März draussen. Der XP-Patch von heute basiert wohl auf den Patches für zahlende Firmenkunden, die noch XP einsetzen und ist auch von März. Er wurde lediglich ausnahmsweise auch für die nicht-zahlenden Consumer-XPs veröffentlicht. Diese User sind allerdings eh alle so grenzdebil, dass Autoupdates wahrscheinlich ausgeschaltet sind. :)

  11. Re: Es waren nicht die Exploits der NSA

    Autor: Trollversteher 15.05.17 - 08:38

    "Man muss davon ausgehen, dass jede NSA Verschwörungstheorie was wahres hat" - selten so einen gefährlichen Schwachsinn gelesen. Man *muss* bei *jeder* Verschwörungstheorie erst mal davon ausgehen, dass es eine gezielt in die Welt gesetzte Lüge ist. Erst wenn sich *wirklich* Verdachtsmomente bestätigen und etwa durch Leaks bestätigt werden (allerdings haben sowohl Snowdens Leaks als auch die Vault#7 Leaks mehr alberne Verschwörungstheorien zerstört denn bestätigt), dann kann und muss man der Sache nachgehen. Aber jeden Gehirnfurz, der in den Foren und der Bloggosphäre kursiert gleich als "wahr" anzusehene, weil ja "alles" schlechte, was man über die NSA hört "DIE WAHRHEIT(TM)" sein muss, bewirkt das exakte Gegenteil von dem, was es sollte, weil es eine Nebelwand erzeugt, in der niemand mehr wirklich durchblickt.

  12. Re: Es waren nicht die Exploits der NSA

    Autor: Central 15.05.17 - 08:49

    Logisch betrachtet könnte ein schneller Patch auch darauf hin deuten, dass man ursprünglich fehlerfrei programmiert hatte und den Fehler absichtlich eingebaut hat oder den Fehler schon lange kannte und der Fix schon in der Schublade lag. ;)

    Da hier wohl die NSA das Leck kannte, war natürlich der Fix schon längst erstellt.

  13. Re: Es waren nicht die Exploits der NSA

    Autor: Richtig Steller 15.05.17 - 09:43

    me2 schrieb:
    --------------------------------------------------------------------------------
    > Und ich denke das ist im allgemeinen eher falsch. In der Regel verrät einem
    > der Patch nur, wo man nach den Schwachstellen suchen muss. Das kann zwar
    > manchmal schon ausreichend sein, wie ja auch die Vergangenheit gezeigt hat.
    > Aber normalerweise zeigt es einem das nicht auf eine "ähnliche Weise" wie
    > ein Exploit tatsächlich umgesetzt werden muss, wie es einem eine fertige
    > Implementierung zeigt.

    So etwas kann nur jemand schreiben, der mit der Materie keine Ahnung hat. Um es kurz zu machen: Wer in der Lage ist ein Exploit via Reverse Engineering auseinander zunehmen ist auch in der Lage einen Patch auf gleiche Weise auseinander zunehmen. Sicherlich, es braucht etwas Erfahrung. Aber google einfach einmal... seit 2004 ist die Problematik bekannt. Und heute wissen wir einfach durch Festnahmen, Aussagen etc. wie der Markt funktioniert: Mit dem Release der Patches stürzt sich eine ganze "Industrie" auf diese um anschließend die Lücken zu finden.


    > Deine These, dass es also auch zu einem ähnlichen Vorfall gekommen wäre,
    > wenn die NSA die Schwachstelle an Microsoft gemeldet hätte, ist durchaus
    > postfaktisch.

    Bedeutungen:
    [1] auf Gefühlen, nicht auf Tatsachen beruhend

    ...da scheint wohl jemand die Wörter die er nutzt nicht zu kennen. Am besten bist du einfach nur noch still.

  14. Automatische Auswertung von Patches

    Autor: Central 15.05.17 - 09:52

    Richtig Steller schrieb:
    --------------------------------------------------------------------------------


    > Um es kurz zu machen: Wer in der Lage ist ein Exploit via Reverse
    > Engineering auseinander zunehmen ist auch in der Lage einen Patch auf
    > gleiche Weise auseinander zunehmen. Sicherlich, es braucht etwas Erfahrung.
    > Aber google einfach einmal... seit 2004 ist die Problematik bekannt. Und
    > heute wissen wir einfach durch Festnahmen, Aussagen etc. wie der Markt
    > funktioniert: Mit dem Release der Patches stürzt sich eine ganze
    > "Industrie" auf diese um anschließend die Lücken zu finden.
    >
    >

    Bereits vor Jahren wurde an einer deutschen Uni/Schule von Studenten eine Software entwickelt, die alten und gepatchten Programmtext vergleicht und in etwa 30 Minuten automatisch das erste Angriffswerkzeug liefert.

  15. Re: Es waren nicht die Exploits der NSA

    Autor: M.P. 15.05.17 - 10:37

    Sie haben die NSA Exploits exploited ;-)


    to exploit | exploited, exploited | instrumentalisieren | instrumentalisierte, instrumentalisiert |
    to exploit | exploited, exploited | auspowern | powerte aus, ausgepowert |
    to exploit | exploited, exploited | ausschlachten | schlachtete aus, ausgeschlachtet |
    to exploit | exploited, exploited | ausschöpfen | schöpfte aus, ausgeschöpft |
    to exploit | exploited, exploited | ausnutzen | nutzte aus, ausgenutzt |
    to exploit | exploited, exploited | verwerten | verwertete, verwertet |
    to exploit | exploited, exploited | ausbeuten | beutete aus, ausgebeutet |
    to exploit | exploited, exploited | auswerten | wertete aus, ausgewertet |
    to exploit ruthlessly Raubbau treiben



    2 mal bearbeitet, zuletzt am 15.05.17 10:42 durch M.P..

  16. Re: Es waren nicht die Exploits der NSA

    Autor: Wallbreaker 15.05.17 - 10:46

    matzems schrieb:
    --------------------------------------------------------------------------------
    > und bei Linux mit SELinux.

    Echt jetzt? Wieder diese Verschwörungstheorie? Der Code ist schon seit über einem Jahrzehnt in anderen Händen, und wurde vielfach angepasst, verändert, und ist nun nicht überwältigend groß. Eine Hintertür existiert dort nicht, mal davon abgesehen, dass SELinux völlig optional ist, und GrSecurity ein weit größeres Geschütz ist.



    2 mal bearbeitet, zuletzt am 15.05.17 10:52 durch Wallbreaker.

  17. Re: Es waren nicht die Exploits der NSA

    Autor: MrAnderson 15.05.17 - 10:54

    ww schrieb:
    --------------------------------------------------------------------------------
    [...] Diese User sind allerdings
    > eh alle so grenzdebil, dass Autoupdates wahrscheinlich ausgeschaltet sind.
    > :)

    Genau diese unverschämte, überhebliche Einstellung auf Entwicklerseite ist auch mit Schuld für die ganze Problematik.

    Erkläre bitte einmal meinem Vater, der auf seinem XP-Notebook nur Bilder von der Digicam kopiert und anschliesend im Windows-Movie Maker zu Dia-Show zusammen baut und auf CD brennt, warum er ein funktionierendes Gerät wegwerfen soll. - Vor allem, wenn er dann ein neues Notebook bekäme, mit dem er keine "Scheibe" mehr erstellen kann (Movie-Maker gibts ja nimmer) ...
    (zum Glück hat er kein Internet :)

    Leider hat es sich bei Software etabliert, dass Entwickler/Anbieter nicht für ihre Fehler verantwortlich sind. Man kann ja patchen. Und irgendwann müssen Kunden das gekaufte Zeug halt wegwerfen.

    Mir ist durchaus bewusst, warum das heute so ist. Mir stellt sich aber die Frage, ob da nicht ein grunsätzliches Strukturproblem bei den Systemarchitekturen besteht?

  18. Re: Es waren nicht die Exploits der NSA

    Autor: matzems 15.05.17 - 22:24

    Wallbreaker schrieb:
    --------------------------------------------------------------------------------
    > matzems schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > und bei Linux mit SELinux.
    >
    > Echt jetzt? Wieder diese Verschwörungstheorie? Der Code ist schon seit über
    > einem Jahrzehnt in anderen Händen, und wurde vielfach angepasst, verändert,
    > und ist nun nicht überwältigend groß. Eine Hintertür existiert dort nicht,
    > mal davon abgesehen, dass SELinux völlig optional ist, und GrSecurity ein
    > weit größeres Geschütz ist.

    Wenn es um die NSA geht ist wohl an jeder Verschwörungstheorie was dran. Es ist einfach unlogisch würde Spock sagen, dass ausgerechnet die NSA völlig ohne Eigennutz etwas wie SELinux,rein zur "Verbesserung der Sicherheit" erstellt, dies sogar opensource, sich also in die Karten schauen lässt. Dies dann aus so viel Nächstenliebe der ganzen Welt inkl. ihren grössten Feinden zur Verfügung stellt.
    Das würde der NSA nie im Schlaf einfallen. Denk mal aus der Sicht des Geheimdienstes der für das Versagen bei 9/11 verantwortlich gemacht wird: Würde die NSA es schaffen auf alle Linux Systeme wie z.b Web Sever und Android Telefone eine Backdoor einzubauen, dann hätte sie Zugriff auf gigantische Datenmengen. Nun schau dir die Zentralen der NSA an, die sind so gewaltig, dort müssen einfach gigantische Daten ausgewertet werden. Wo stammen die wohl her, wenn die Webserver der Welt mit NSA-SeLinux so sicher ist, dass sich sogar die NSA selbst ausgesperrt hat? 1+1=2 NSA Selinux =Bock & Gärtner.
    Logisch ist eher dass die Hintertür in Millionen Textzeilen so gut versteckt sind dass dies niemand findet. Und da der zweite Maintainer Red Hat ist, ein US Unternehmen, dürfen die dazu auch nix schreiben. Ansonsten würde ich gern den Programmierer sehen der das Wissen und die Zeit hat dies nach Backdoors durchzustöbern.
    Das ist reine Theorie dass sich in open source keine backdoors/Sicherheitslücken etc befinden nur weil es open ist.
    Die Linux Experten verbrennen ihr Manpower doch lieber in der Erstellung von 10000 Distributionen, zig Desktopumgebungen, Paketmanagern, ...anstatt mal Power zu bündeln um im Team mal was voranzubringen.



    1 mal bearbeitet, zuletzt am 15.05.17 22:37 durch matzems.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Camelot ITLab GmbH, Mannheim
  2. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf
  3. Camelot ITLab GmbH, Mannheim, Köln, München
  4. i-SOLUTIONS Health GmbH, Bochum

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. 107€ (Bestpreis!)
  3. 274,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


In eigener Sache: Zeig's uns!
In eigener Sache
Zeig's uns!

Golem kommt zu dir: Golem.de möchte noch mehr darüber wissen, was IT-Profis in ihrem Berufsalltag umtreibt. Dafür begleitet jeder unserer Redakteure eine Woche lang ein IT-Team eines Unternehmens. Welches? Dafür bitten wir um Vorschläge.

  1. In eigener Sache Golem.de bietet Seminar zu TLS an
  2. In eigener Sache ITler und Board kommen zusammen
  3. In eigener Sache Herbsttermin für den Kubernetes-Workshop steht

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung
  2. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  3. Leserumfrage Wie können wir dich unterstützen?

Razer Blade 15 Advanced im Test: Treffen der Generationen
Razer Blade 15 Advanced im Test
Treffen der Generationen

Auf den ersten Blick ähneln sich das neue und das ein Jahr alte Razer Blade 15: Beide setzen auf ein identisches erstklassiges Chassis. Der größte Vorteil des neuen Modells sind aber nicht offensichtliche Argumente - sondern das, was drinnen steckt.
Ein Test von Oliver Nickel

  1. Blade 15 Advanced Razer packt RTX 2080 und OLED-Panel in 15-Zöller
  2. Blade Stealth (2019) Razer packt Geforce MX150 in 13-Zoll-Ultrabook

  1. 5G-Media Initiative: Fernsehen über 5G geht nicht einfach über das Mobilfunknetz
    5G-Media Initiative
    Fernsehen über 5G geht nicht einfach über das Mobilfunknetz

    In einem Streit unter den Öffentlich-Rechtlichen wird dem Intendanten des Deutschlandradios erklärt, dass Rundfunk über 5G nicht einfach über die Netze der kommerziellen Betreiber ginge. Der Intendant hatte die Technik nicht ganz verstanden.

  2. SpaceX: Beide Starships sollen in wenigen Monaten starten
    SpaceX
    Beide Starships sollen in wenigen Monaten starten

    Der Test mit dem experimentellen Raumschiff ist fehlgeschlagen. Laut SpaceX-Chef Elon Musk kein Problem. Dann soll eben gleich das Starship fliegen - und zwar beide im Bau befindlichen Versionen. Am besten noch zwei Mal in diesem Jahr.

  3. Selfblow: Secure Boot in allen Tegra X1 umgehbar
    Selfblow
    Secure Boot in allen Tegra X1 umgehbar

    Ein Fehler im Bootloader der Tegra X1 von Nvidia ermöglicht das komplette Umgehen der Verifikation des Systemboots. Das betrifft wohl alle Geräte außer der Switch. Nvidia stellt ein Update bereit.


  1. 18:30

  2. 18:00

  3. 16:19

  4. 15:42

  5. 15:31

  6. 15:22

  7. 15:07

  8. 14:52