Chaos Computer Club analysiert Staatstronjaner

[mindsmith]

Trojaner sind illegal
Facebook und Co. machen das legal

[Ex-User]

ich kann nur wieder sagen das ich keinen trojaner oder virus bisher hatte.

was macht Dich da so sicher

Gegen einen geplanten, gezielten Angriff, egal auf welches System hat weder der Laie, noch der power user irgendeine Chance.

Das würde ja im Umkehrschluß bedeuten, dass ein Angreifer in jedes System reinkommt, wenn er denn nur will?

nachdem der Code des Trojaners bekannt und veröffentlicht ist - erkennt denn nun die übliche Antivir(en)-Software den Trojaner und beseitigt ihn?

Ja, seit Montag morgen wird der Trojaner automatisch entfernt. Den Behörden wurde jedoch vorher Gelegenheit gegeben, die Trojaner selbst zu entfernen, indem die Behörden vor der Presse informiert wurden.

da muss man auf seinem Router gewisse Ports sperren das nicht jedes mal alle Daten zu Facebook und Co. gesendet werden.

Was haste denn da für Prots gesperrt, doch nicht etwa tcp/80 ? Mit Port-Sperren wirst du sowas nicht verhindern können, auch der Bundestrojaner wurde als dll-Datei installiert, arbeitet also im Kontext eines anderen Programms (bspw. Browser). Somit kannst du nicht ohne weiteres feststellen, ob der Datenverkehr durch deinen Browser, oder durch einen Trojaner im Namen deines Browser stattfand. Dieses Verhalten ist mittlerweile standard bei Trojanern.

Viele Grüße

[Grunling]

Das würde ja im Umkehrschluß bedeuten, dass ein Angreifer in jedes System reinkommt, wenn er denn nur will?

Richtig erkannt. Der Rest ist eine Frage der Bilanzierung und der Motivation. Aber keine Sorge, der interessante Teil spielt sich in der Industriespionage ab. Da gibt es nur wenige Großunternehmen, die noch nicht Opfer waren. IT-orientierte Firmen inklusive.(Ein anderes Beispiel über Ressourcen und wie dann reale und virtuelle Welt ineinander greifen, wäre Stuxnet.)

[mindsmith]

da muss man auf seinem Router gewisse Ports sperren das nicht jedes mal alle Daten zu Facebook und Co. gesendet werden.

Was haste denn da für Prots gesperrt, doch nicht etwa tcp/80 ? Mit Port-Sperren wirst du sowas nicht verhindern können, auch der Bundestrojaner wurde als dll-Datei installiert, arbeitet also im Kontext eines anderen Programms (bspw. Browser). Somit kannst du nicht ohne weiteres feststellen, ob der Datenverkehr durch deinen Browser, oder durch einen Trojaner im Namen deines Browser stattfand. Dieses Verhalten ist mittlerweile standard bei Trojanern.

Viele Grüße[/quote]

Ich hab mal wieder schneller getippt als gedacht, entschuldigung.
Ich sperre nicht die Ports sondern die entsprechenden Seiten:

http://www.google-analytics.com
google-analytics.com
usw.

die volle Liste gibt es hier:
http://winhelp2002.mvps.org/hosts.txt

Damit stellt man fast alle "Heimtelefonierer" ab.

[mindsmith]

Das würde ja im Umkehrschluß bedeuten, dass ein Angreifer in jedes System reinkommt, wenn er denn nur will?

Richtig erkannt. Der Rest ist eine Frage der Bilanzierung und der Motivation. Aber keine Sorge, der interessante Teil spielt sich in der Industriespionage ab. Da gibt es nur wenige Großunternehmen, die noch nicht Opfer waren. IT-orientierte Firmen inklusive.(Ein anderes Beispiel über Ressourcen und wie dann reale und virtuelle Welt ineinander greifen, wäre Stuxnet.)

Auch private PC sind interessant, Bankverbindungen und Kreditkartendaten. Sind nicht so rentabel wie Grossunternehmen mit riesigen Kundendatenbanken. wer aber mal schnell sein neues iPhone umsonst kaufen will, der nutzt die Daten von privaten Systemen. Diese sind sowieso meist recht wenig geschützt und somit einfache und schnelle Ziele.

[roland]

Hi,
das eigentlich bedenkliche neben dem Datenschutz ist, das der Staat ausgerechnet Verbrecherisch gesinnten Menschen ein Werzeug auf die Festplatte spielt, mit dem die dann wunderbar auch andere Rechner infizieren könnten - ich kann mir nicht vorstellen, das der Programmiercode des Trojaners so gut verschlüsselt ist, das er nicht "umgenutzt" werden kann.
Also in Kurzform: Staat bricht auf Rechner ein, hinterlässt dabei aber das Einbruchswerkzeug zur weiteren Verwendung beim Verbrecher.

Roland

[Ex-User]

Richtig erkannt. Der Rest ist eine Frage der Bilanzierung und der Motivation. Aber keine Sorge, der interessante Teil spielt sich in der Industriespionage ab. Da gibt es nur wenige Großunternehmen, die noch nicht Opfer waren. IT-orientierte Firmen inklusive.(Ein anderes Beispiel über Ressourcen und wie dann reale und virtuelle Welt ineinander greifen, wäre Stuxnet.)

Also davon, dass viele Firmen - auch IT-Firmen - bereits Sicherheitsprobleme hatten zu schließen, dass es generell immer möglich ist, in jedes System einzudringen, zu schon echt abenteuerlich. Mittlerweile werden lokale! 0day-Lücken in Windows im Millionen-Euro-Bereich gehandelt, weil es eben nicht mehr so einfach möglich ist, wie es vielleicht vor 10 Jahren war.

Stuxnet hatte 4 solcher 0day-Lücken implementiert, dürfte also locker mehrere Millionen Euro gekostet haben. Und die Anlagen von Siemens, auf die der Wurm aus war, waren mehr schlecht als recht gesichert. Trotzdem sollte man nicht vergessen, dass Sicherheit kein Zustand, sondern ein Prozess ist, sprich der ständigen Überprüfung/Überwachung bedarf.

mit dem die dann wunderbar auch andere Rechner infizieren könnten

ähm, nein, eher undenkbar sowas. Da gibt es bessere Trojanerbaukästen, die nicht mal teuer sind.

[stevo12]

@grottenholm: ich bin mir nicht sicher, eigentlich niemals
zum surfen benutze ich gerne schlanke Iivecds (Antix,Slitaz), HD für wichtige Daten ist extern und dann abgeklemmt, außerdem benutze ich für verbindungsstatus netstat.
dienste wie telnet oder smtp sind nicht aktiv.
noch viel besser als linux finde ich Darwin, openBSD , mein absoluter liebling ist GNU/HURD

aber bei der ganzen diskussion um sicherheit frage ich mich, warum kaum jemand GnuPG benutzt?
vg

[stevo12]

hallo,nochmal
zum Trojaner (nicht tronjaner)
kommt leider etwas spät, aber erstmal danke für den link, diese seite ist genial,
von der gestaltung bis zu den texten.

es gibt dort ein pdf-dokument zum runterladen: staatstrojaner-report23 (23! hallo!!!!!)
das ich sehr wichtig finde. es geht um windows....dll's, speex,skype,bildschirmfotos, assembler-code.
und einer c++ funktion ....ozapftis..() und das eine IP-adresse fest einprogrammiert war.

außerdem schreibt CCC , daß man den trojaner auch "umdrehen" kann:

"...sondern bereits nur mäßig begabte Angreifer sich den Behörden gegenüber als eine bestimmte Instanz des Trojaners ausgeben und gefälschte Daten abliefern. Es ist sogar ein Angriff auf die behördliche Infrastruktur denkbar. Von einem entsprechenden Penetrationstest hat der CCC bisher abgesehen...."




bei linux oder bsd gibt es keine *.dll

zur info: um binaries zu analysieren , braucht man einen disassembler , zB softice
dieser produziert maschinencode(assembler)
vg

[Ex-User]

bei linux oder bsd gibt es keine *.dll

Da nennt sich das dann *.so und funktioniert genauso.