CCC analysiert deutschen Staatstrojaner |
||
---|---|---|
#0
| ||
14.10.2011, 16:54
Member
Beiträge: 5291 |
||
|
||
14.10.2011, 18:05
Member
Beiträge: 3716 |
#32
naja, 43 % ist ne menge, das denke ich aber auch.
Xeper ich verstehe nicht wie du zu der anname kommst das es mehr signaturen als malware gibt. es gibt halt mehrere familien bzw bezeichnungen, wie spyeye tdss usw. darunter fallen einige millionen files die jemach dem durchnummeriert bzw nummeriert + buchstaben oder als .gens erfasst werden. trotzdem gibt es viel mehr malware als erkennungsmusster es gibt hersteller die von 50000 andere die von 80000 samples pro tag sprechen. von einigen herstellern weis ich das sie 1 bis 1,5 tb neue malware pro woche bekommen. gibt also mehr samples als signaturen. |
|
|
||
14.10.2011, 18:13
Member
Beiträge: 5291 |
#33
Zitat Xeper ich verstehe nicht wie du zu der anname kommst das es mehr signaturen als malware gibt.Scheinst dich nicht in der Scene auszukennen, sagt dir Crypter etwas und was damit gemacht wird? Zitat ...trotzdem gibt es viel mehr malware als erkennungsmusster...Das musst du mir beweisen. Ich kann dir abschließend dazu sagen das es sehr wenig Leute gibt die tatsächlich neue Malware programmieren, auch die Leute die diese Fähigkeiten haben sind sehr begrenzt - selbst im blackmail/blackhat Bereich. Oft basieren die im Umlauf gebrachte Malware auf eine ähnliche wenn nicht bereits bekannte Technologie (siehe Zeus) natürlich gibt es Abwandlung - oft wird aber nichts abgewandelt. Es gibt Leute die dafür spezielle Software (siehe Frage oben) programmieren die die, Signatur verändert. (Bzw. die die eigentlichen Malware als Payload verschlüsselt an eine binary hängt) __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
14.10.2011, 20:52
Member
Themenstarter Beiträge: 3306 |
#34
Zitat Xeper posteteMich wundert vor allem das so viele Piraten Wähler für Online-Durchsuchungen sind. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
14.10.2011, 21:47
Member
Beiträge: 5291 |
#35
Zitat asdrubael posteteEventuell ist das Alles gefaked.... __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
15.10.2011, 12:53
Member
Themenstarter Beiträge: 3306 |
#36
Teilweise lässt sich das wohl über die Art der Umfrage erklären, da wird man nachmittags auf dem Festnetzanschluss angerufen und muss eine ganze Zeit Fragen über sich ergehen lassen. Wer da arbeiten muss, am Telefon keine Fragen beantworten will oder gar keinen Festnetzanschluss hat fliegt natürlich raus und man muss sich natürlich fragen wie viele Piraten Anhänger überhaupt an der Umfrage teilgenommen haben. Auch gibt es wohl viele "Protestwähler" die eigentlich eher bei CDU/FDP zu verorten wären, aber sich aus Enttäuschung den Piraten zuordnen.
Trotzdem lässt sich das Ergebnis nicht allein mit Ungereimtheiten bei der Erhebung erklären, es gibt hier wie ich finde noch großen Aufklärungsbedarf. Viele sind wohl immer noch auf dem Trichter man bräuchte diese Maßnahmen um gegen die "Terroristen" die angeblich überall lauern vorgehen zu können. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
15.10.2011, 13:07
Member
Beiträge: 5291 |
#37
Zitat Trotzdem lässt sich das Ergebnis nicht allein mit Ungereimtheiten bei der Erhebung erklären, es gibt hier wie ich finde noch großen Aufklärungsbedarf.Da zweifle ich mal eher die Authentizität dieser Umfrage an, niemand kann mir erzählen das plötzlich soviele Menschen gerne eine Hausdurchsuchung erhalten möchten. Wen wollen die denn zum Narren halten.... __________ E-Mail: therion at ninth-art dot de IRC: megatherion @ Freenode |
|
|
||
16.10.2011, 18:35
Member
Themenstarter Beiträge: 3306 |
#38
Bundesinnenminister Friedrich im FAZ Interview:
http://www.faz.net/aktuell/politik/im-interview-bundesinnenminister-friedrich-csu-es-gibt-keine-rechtliche-grauzone-11494291.html Auf die Frage ob man jetzt munter mit anderen Trojanern und Co. weitermacht: Zitat Ja. Sollen wir die organisierte Kriminalität laufen lassen? Den Drogenhandel? Den Menschenhandel? Den Waffenschmuggel? Und was ist mit dem Terrorismus? Denn nur gegen solche schweren Verbrechen gehen wir auch mit Hilfe von Überwachungssoftware vor.Und ob es nicht rechtlichen Klärungsbedarf gäbe: Zitat Wir nutzen die Quellen-Telekommunikationsüberwachung, um auf richterliche Anordnung organisierte Kriminalität und Terrorismus zu bekämpfen.Ja genau, ausschließlich bei Terrorismus, Menschenhandel und Kinderschändern, wer's glaubt wird seelig. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
20.10.2011, 13:55
Member
Themenstarter Beiträge: 3306 |
#39
Gestern gab es eine "Aktuelle Stunde" zum Thema Online-Überwachung im Bundestag:
Staatstrojaner sorgen für Schlagabtausch im Bundestag Hier gibt es eine schöne Liste von allen Redebeiträgen als Videos (MP4): http://forum.gleitz.info/showthread.php?25965-Artikel-zu-allgemeinen-Themen&p=423339&viewfull=1#post423339 Das ist durchaus interessant wer da was sagt, der feine Herr Friedrich hatte beispielsweise keine Lust auf die Diskussion und blieb der Sitzung fern (siehe auch Ein Ignorant namens Hans-Peter Friedrich (Stern)). Aber auch die Opposition ist bei diesem Thema gespalten, einige fordern der Staat solle den Trojaner selbst programmieren oder zumindest den Quellcode unabhängig prüfen lassen. Das hilft meiner Meinung nach niemandem etwas, man muss solche Software einfach komplett verbieten. __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
20.10.2011, 19:35
Member
Beiträge: 3716 |
#40
na aber jede neue datei verschlüsselt mit einem crypter ist ein neues sample.
ich spreche nicht von komplett neuen familien. naja beweisen muss ich dir das nicht, stelle doch mal nachfragen an av firmen, wie viel malware sie so reinbekommen pro tag und wie viel sie verarbeiten, das ist nur ein bruchteil und das meiste bleibt unerkannt. http://www.securityweek.com/new-malware-jumps-73000-samples-every-day-says-pandalabs hier was von panda, gibt von andern firmen ähnliche statistiken. |
|
|
||
20.10.2011, 21:46
Member
Beiträge: 395 |
#41
Mittlerweile sollte der ja auch von allen erkannt werden, auch wenn gezippt.
Auch die UTM-Firewalls liegen da im Trend. Hier mal als beispiel nen Screenschot, als ich mir ebend die Binaries vom CCC anschauen wollte. __________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
20.10.2011, 22:32
Member
Beiträge: 395 |
#42
So da ich nun die Daten habe, interessiert es mich natürlich auch mal wie ich mir die genauer anschauen kann. In wie fern muß ich jetzt nen assembler oder deassambler nutzen und gibt es von solch einer software irgendwo nee free oder shareware zum test ?
__________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
20.10.2011, 22:53
Member
Beiträge: 546 |
#43
N1con schrieb:
Zitat Mittlerweile sollte der ja auch von allen erkannt werden, auch wenn gezippt.Das ist ein Trugschluß. Dein Scanner erkennt ein nicht aktives Sample dieser(!) Version der Schadsoftware. Anders sehe es aus, wenn dein System händisch durch eine Dritte Person infiziert wurde und die Malware in einer neueren, aktuelleren Variante aktiv wäre. Dein bzw. die Scanner würde(n) dumm sterben. Da es nie vorgesehen war, dass das Teil in-the-wild auftaucht und das Programm selber auch keinen Wert auf Verbreitung legte, kann für kommende oder bereits existente Typen dieses "Trojaners" davon ausgegangen werden, dass es keine Erkennungspattern geben wird. Und da Heuristik nicht funk- tioniert... Macht aber nichts, denn Otto Normalo wird niemals Kontakt mit dem Schrott haben. Ergo ist es mir sowas von Schnuppe, ob irgendwelche Scanner nun veraltete Software erkennen und diese als Bundestrojaner v1.0 identifizieren. Zumal es wirklich nicht aufregend ist, dass mittlerweile ein nicht aktives Stück Malware, welches als "Source Code" verfügbar ist, erkannt wird. Beim erstmaligen Prüfen der Schadsoftware mit div. Antiviren-Programmen wurde das Teil nicht erkannt: Zitat Jens Hektor <hektor@rz.rwth-aachen.de> wrote:(Quelle: de.org.ccc) |
|
|
||
20.10.2011, 23:01
Member
Beiträge: 395 |
#44
hmm ... aus der Sicht habe ich es noch nicht betrachtet .. danke für den wink
__________ Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier Protecus Spenden |
|
|
||
27.10.2011, 22:25
Member
Themenstarter Beiträge: 3306 |
#45
Der CCC hat nun auch eine neuere Version der Trojaners zerlegt:
http://www.ccc.de/de/updates/2011/analysiert-aktueller-staatstrojaner http://www.ccc.de/system/uploads/83/original/staatstrojaner-report42.pdf __________ Bitte keine Anfragen per PM, diese werden nicht beantwortet. |
|
|
||
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode