1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Zero-Day-Lücken: Angreifer verraten…

Das weiß doch jeder 12jährige!?!?!

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Das weiß doch jeder 12jährige!?!?!

    Autor: xor_eax_eax 04.07.18 - 05:37

    Ich unterstütze manchmal einige Schüler, von denen viele erst 12 oder 13 Jahre alt sind, bei der Analyse und Entwicklung von Malware. (siehe dazu den Disclaimer weiter unten)

    Und bei dieser Zielgruppe ist es eigentlich allseits bekannt, dass VirusTotal ein Honeypot ist. Das war auch schon vor 10 Jahren so. Zumal es in den Bestimmungen von VirusTotal ganz unverholen direkt drin steht ...

    Deshalb kann ich jetzt nicht wirklich nachvollziehen, dass ein fähiger Hacker, der offensichtlich tatsächlich dazu in der Lage ist, unbekannte Lücken in funktionierende Exploits zu verwandeln, das nicht wissen soll. Wie man eigene Malware so prüft, dass keine Samples in die Hände der AV-Hersteller gelangen, ist seit Jahren / Jahrzehnten bekannt und kein Geheimnis ... aber Virustotal? Ernsthaft?

    Ich halte es für wahrscheinlicher, dass die Samples entweder fälschlicherweise von einem unbedarften Dritten (Putzfrau?) hochgeladen wurden oder dass es sich um einen PR-Stunt von Virustotal handelt, um mal wieder in den Medien zu landen. Aber dass ein Malware-Autor so etwas nicht wissen soll ...

    Disclaimer: Die Analyse und auch die Entwicklung von Malware zu Testzwecken ist nach deutschem Recht erlaubt, solange man diese Schadsoftware danach nicht in die freie Wildbahn entlässt. Und je nach Fachrichtung kann ich jedem Studenten nur empfehlen, selbst mal so etwas zu schreiben, um ein Gefühl dafür zu bekommen, und um zu verstehen, warum AV-Software grundsätzlich Betrug ist, aus technischer Sicht gar nicht zuverlässig funktionieren und von jedem 6klässler umgangen werden kann.

    Ursprünglich fing das ganze mit einer Assembler-AG an einer Schule für eine kleine Hand voll hochmotivierter Schüler an, aber irgendwann ist man dann auch beim Thema Malware gelandet und es tauchte die Frage auf: "Warum sind die Downloader in den Anängen von Spammails nur 800 Byte groß?" ... gut, zugegeben, später dann mit Signatur etwas mehr ...

    Also den Disassembler ausgepackt und der begeisterten Meute gezeigt, was die Win32-API so alles kann. Einige Kinder wunderten sich dann, dass ihre ersten eigenen Gehversuche gar nicht von den Antiviren auf den Schulcomputern bzw. zu Hause bei ihnen entdeckt wurden, und zwar noch lange BEVOR überhaupt versucht wurde, die Funktionsweise irgendwie zu verschleiern, geschweige denn die Heuristik auszutricksen.

    Ach, und falls es hier wieder Schreihälse gibt: Keinem meiner Schüler traue ich zu, dass er seine Entwicklungen verbreitet. Wir hatten lange Ethik-Diskussionen zu dem Thema und keinen von denen halte ich für so asozial. Ich würde behaupten, dass ich da durchaus einige zukünftige äußerst fähige White-Hats heran gezüchtet habe, die moralisch äußerst vorzeigbare Ansichten zu dem Thema haben. :)

    Einem Metzger wirft man ja auch nicht einfach vor, ein potentieller Massenmörder zu sein, nur weil er gut filetieren kann. (Sorry, ich weiß, das ist abgedroschen, aber IMMER wenn ich etwas zu dem Thema in öffentliche Foren schreibe, gibt es einige "Experten", die sich darüber echauffieren, wie man solch "gefährliches Wissen" weiter geben kann. Dass man sich ohne besagtes Wissen gar nicht effektiv schützen KANN, blenden die meisten aus, und verlassen sich lieber auf ihre vermeidlich "zuverlässige" Antivirenlösung ... pfff)

    Und selbst wenn die einzige Erkenntnis aus dem Ganzen die ist, dass jeder 12jähige Programmieranfänger nach spätestens drei Wochen eine Malware schreiben kann, die von keinem Antivirus gefunden wird, waren meine Assembler-Kurse schon viel wert. Ich bin immer erschrocken, dass gestandene Studenten oder gar Absolventen auf ihre AV-Software schwören. Ich wette, von denen hat weit unter 0,1% ihre AV-Software analysiert und sich mit der Funktionsweise beschäftigt ... da plappern sie lieber nach, was die bunte Werbung verspricht und es wird sich auf die "magische Schutzwirkung" verlassen, von der keiner genau weiß, WIE sie funktioniert. Es werden höchstens Buzzwords nachgeplappert, und oftmals noch eine monatliche "Miete" für den Müll bezahlt.

    Aus diesem Grunde: Übt mal alle ein bisschen und spielt selbst etwas mit Malware rum, um ein Verständnis für die Funktionsweise zu bekommen! Guckt euch ruhig mal in IDA an, WIE eure Antivirensoftware das tut, was sie vorgibt zu tun, aber seid bitte nicht allzu sehr geschockt, wenn ihr erkennt, was für ein primitiver, unsicherer und grauenhafter Murks das alles ist. (Stichworte: Sandboxing, Heuristik, Laufzeitschutz, hahaha ... was für ein Quark) :)

    Das ist - wie bereits erwähnt - nicht verboten, solange man die selbst entwickelte Schadsoftware danach nicht weiter verbreitet. Aber so etwas tun sowieso nur Assis, weshalb das Ganze kein Argument gegen Experimente lernwilliger Interessierter ist.

    Und an all diejenigen, die AV immer noch für richtig und wichtig halten: Egal wie ihr zu dem Thema steht, vergesst bitte nicht, dass eure AV-Software gegen motivierte Schüler keine Chance hätte, geschweige denn, "richtige" Malware Autoren. Wenn AV-Software so super toll ist, warum tendiert dann die Erkennungsrate bei neuer (sogar von Kindern geschriebener) Malware gegen 0%? :)

  2. Re: Das weiß doch jeder 12jährige!?!?!

    Autor: Smalsus 04.07.18 - 07:50

    Ja.. nein.
    Deine kleine Zielgruppe, die weiß es - Alter ist dann unabhängig.
    Lässt sich schlecht auf "jeden" erweitern und schon gar nicht auf Leute außerhalb dieser Zielgruppe.

    Darauf hinzuweisen, dass es "sogar von Kindern" kommt, klingt geringschätzend finde ich - es gibt so vieles, was einige Kinder können, was andere Erwachsene nie lernen werden (evtl. auch, weil es sie gar nicht interessiert).

    Weißt du aber hoffentlich selbst, ansonsten würdest du vermutlich mit viel Hohn und Geringschätzung durch die Welt gehen müssen oder eher abgeschottet leben.

    ---

    Abgesehen von dieser unnötigen Verallgemeinerung:

    Für Leute, die sich für das Thema interessieren:
    Gibt es deiner Meinung nach qualitativ bevorzugte (Literatur-)Quellen, um sich damit auseinanderzusetzen bzw. einen (bei Interesse tiefergehenden) Einblick zu bekommen, die du hier nennen kannst?

    Ja, Quellen gibt es sicher genug - habe noch kaum Themen gefunden, zu denen es nicht bspw. YouTube-Videos/-Tutorials gibt - mit der Qualität sieht es oft anders aus und Empfehlungen bekommen einen zusätzlichen Wert, wenn sie von jemanden kommen, der mit der Thematik vertraut ist.

    Grüße

  3. Re: Das weiß doch jeder 12jährige!?!?!

    Autor: Bouncy 04.07.18 - 08:25

    wow, der längste inhaltsleere Post des Jahres, herzlichen Glückwunsch ;)

    Davon ab, automatischer Honeypot hin oder her, die Chancen tatsächlich auf diese Weise entdeckt zu werden sind bei der Menge an Uploads eher gering - sieht man ja schnell, wenn man unbekannte Viren hochlädt und die Erkennungsrate auch nach Wochen noch minimal ist. Vielleicht hatten die Autoren schlicht und einfach mal Pech...

  4. Re: Das weiß doch jeder 12jährige!?!?!

    Autor: chefin 04.07.18 - 08:26

    Du übersiehst da etwas: Leute mit den Fähigkeiten sowas zu schreiben, sind Programmierer, keine Hacker. Sie verdienen ihr Geld mit Programmieren. Das Hacken und die strafbaren Dinge überlassen sie Dritten

    Diese Dritten sind wirtschaftliche orientiert. Heist, Dinge müssen ausgereizt werden. Und wie du selbst schreibst, jeder 12 Jährige mit Interesse kann Malware schreiben. warum? Weil etwas destruktive Programmierer Baukästen (oder Bibliotheken) in Umlauf bringen die es möglich machen sowas zusammen zu klicken. Aber damit infiziert man keinen Rechner. Man kann ihn übernehmen, aber zur Infektion muss man erstmal einen Übertragungsweg austüfteln. DAS ist die Kunst und das schaffen deine Kiddys eben nicht. Deswegen ist das Programmieren von Dingen die eher destruktiv sind nicht verboten sondern nur das in Verkehr bringen.

    Da also Hacker heute nur noch Zeugs kaufen und zusammenklicken, muss es vielschichtig abgefiltert werden. Die große Masse an Hackern hat nicht das Geld sich die neuesten unbekannten Tools zu kaufen. Die kosten richtig Geld. Sobald sie aber in Virenscanner landen sind sie für diese Profis uninteressant. Ohne Virenscanner würde ich dich heute noch mit Subseven infizieren. Dank Virenscanner müssen die bösen Buben dauernd ihre Werkzeuge wechseln. Und die zweit und drittverwerter finden keine Scheunentore zum einfallen sondern allenfalls ungepflegte Systeme die sie noch übernehmen können.

    Virenscanner helfen also nicht gegen Profis, sie verhindern nur das jeder zum bösen Buben wird, nur weil er es kann und es fast risikolos ist. So wie kein Polizist verhindert das ich mit 120 durchs Ort fahre. Aber ohne Polizisten würde ich es vieleicht in jedem Ort machen, so nur dort wo ich sicher bin nicht meinen Führerschein zu verlieren. Oder wo ich zum Typ Mensch gehöre, dem das alles egal ist. Der sich sagt: isser weg fahre ich weiter und muss mir noch weniger den Kopf machen. Nun können sie ihn mir ja garnicht mehr abnehmen.

    Deine Aussage hingegen zeigt, das du zwar irgendwelche Fernzugriffstools basteln kannst, irgendein remotecontroll, aber eigentlich keinen Ahnung von PC und Netzwerken hast und wie das Gesamtzusammenspiel funktioniert. Und deine Aussage das Virenscanner völlig nutzlos sind, ist blödsinn. Sie sind teil eines mehrstufigen Abwehrsystems. Man kann zb via Heuristik prüfen ob ein Programm plötzlich eine Datei nach der anderen öffnet im Schreibmodus. Und damit nicht jede Bildbetrachtungssoftware, Komprimierungsprogramme oder Kopierprogramme plöztzlich verdächtig werden, legt man eine Whitelist an. Nix stört den User mehr als dauernde Fehlalarme. Aber auf dem Weg erkennt man, wenn ein neues Programm plötzlich anfängt Dinge zu machen, die man nicht erwartet.

    Diese und weitere Stufen helfen, verhindern können sie es nie. Aber das ist auch unmöglich. Auch in bester Absicht optimierte Software ist weiterhin löchrig. Siehe OpenBSD. Trotz aller Prüfung und dem strengen Willen das sicherste OS zu sein, werden auch dort Löcher gefunden und können selbst uralte Sicherheitslücken drin stecken. Als Programmierer hat man einen anderen Blickwinkel wie als Hacker. Ich muss schon von berufswegen mehr drauf schauen, das alle erlaubten Eingaben richtig verarbeitet werden. Ein Hacker interessiert sich nicht ob erlaubte Eingaben sauber bearbeitet werden oder völligen Blödsinn bringen. Ihn interessiert alles was man normalerweise da nie reinschreibt. DAS sind seine Sternstunden dann.

    Also bringe bitte keine zusätzlichen Löcher in den Schutzschild, indem du etwas das nicht 100% Sicherheit bringt deswegen völlig ablehnst. Den auch du kannst nicht jedes pdf vor dem Öffnen analysieren, wenn dein job ist, pdfs zu öffnen die an Mails hängen um Aufträge abzuarbeiten. Und eine solche Lücke die schon beim öffnen aktiviert wird ohne dein Zutun würde auch dich erwischen. Und nein, javascript kann man nicht völlig entfernen und stilllegen. Dann ist ein Arbeiten nicht mehr möglich. Sogar Java selbst kann ich nicht weglassen, weil der Zoll seine Warenausfuhranmeldungen via Java-Applet haben will. Du MUSST es installieren und aktivieren oder kannst nichts exportieren. Also bald auch Arbeitslos.

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Principal Data Engineer (m/f/d)
    über experteer GmbH, München
  2. Microsoft Dynamics Business Central Developer / Programmierer (m/w/d)
    Heinz von Heiden GmbH Massivhäuser, Isernhagen
  3. Berufseinstieg SAP-Berater*in (m/w/d)
    Lufthansa Industry Solutions AS GmbH, Hamburg, Frankfurt, Wetzlar, Köln, Stuttgart
  4. Mitarbeiter (m/w/d) für den IT First Level Support
    Diakonie Hasenbergl e.V., München

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 9,99€
  2. 18,49€
  3. 24,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de