CCC analysiert deutschen Staatstrojaner

#0
14.10.2011, 16:54
Member
Avatar Xeper

Beiträge: 5289
#31 Mich wundert das es noch soviel ist....
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
14.10.2011, 18:05
Member

Beiträge: 3716
#32 naja, 43 % ist ne menge, das denke ich aber auch.
Xeper ich verstehe nicht wie du zu der anname kommst das es mehr signaturen als malware gibt.
es gibt halt mehrere familien bzw bezeichnungen, wie spyeye tdss usw. darunter fallen einige millionen files die jemach dem durchnummeriert bzw nummeriert + buchstaben oder als .gens erfasst werden.
trotzdem gibt es viel mehr malware als erkennungsmusster
es gibt hersteller die von 50000 andere die von 80000 samples pro tag sprechen.
von einigen herstellern weis ich das sie 1 bis 1,5 tb neue malware pro woche bekommen. gibt also mehr samples als signaturen.
Seitenanfang Seitenende
14.10.2011, 18:13
Member
Avatar Xeper

Beiträge: 5289
#33

Zitat

Xeper ich verstehe nicht wie du zu der anname kommst das es mehr signaturen als malware gibt.
Scheinst dich nicht in der Scene auszukennen, sagt dir Crypter etwas und was damit gemacht wird? ;)

Zitat

...trotzdem gibt es viel mehr malware als erkennungsmusster...
Das musst du mir beweisen.

Ich kann dir abschließend dazu sagen das es sehr wenig Leute gibt die tatsächlich neue Malware programmieren, auch die Leute die diese Fähigkeiten haben sind sehr begrenzt - selbst im blackmail/blackhat Bereich.
Oft basieren die im Umlauf gebrachte Malware auf eine ähnliche wenn nicht bereits bekannte Technologie (siehe Zeus) natürlich gibt es Abwandlung - oft wird aber nichts abgewandelt.

Es gibt Leute die dafür spezielle Software (siehe Frage oben) programmieren die die, Signatur verändert.
(Bzw. die die eigentlichen Malware als Payload verschlüsselt an eine binary hängt)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
14.10.2011, 20:52
Member
Themenstarter

Beiträge: 3306
#34

Zitat

Xeper postete
Mich wundert das es noch soviel ist....
Mich wundert vor allem das so viele Piraten Wähler für Online-Durchsuchungen sind.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
14.10.2011, 21:47
Member
Avatar Xeper

Beiträge: 5289
#35

Zitat

asdrubael postete

Zitat

Xeper postete
Mich wundert das es noch soviel ist....
Mich wundert vor allem das so viele Piraten Wähler für Online-Durchsuchungen sind.
Eventuell ist das Alles gefaked.... ;)
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
15.10.2011, 12:53
Member
Themenstarter

Beiträge: 3306
#36 Teilweise lässt sich das wohl über die Art der Umfrage erklären, da wird man nachmittags auf dem Festnetzanschluss angerufen und muss eine ganze Zeit Fragen über sich ergehen lassen. Wer da arbeiten muss, am Telefon keine Fragen beantworten will oder gar keinen Festnetzanschluss hat fliegt natürlich raus und man muss sich natürlich fragen wie viele Piraten Anhänger überhaupt an der Umfrage teilgenommen haben. Auch gibt es wohl viele "Protestwähler" die eigentlich eher bei CDU/FDP zu verorten wären, aber sich aus Enttäuschung den Piraten zuordnen.

Trotzdem lässt sich das Ergebnis nicht allein mit Ungereimtheiten bei der Erhebung erklären, es gibt hier wie ich finde noch großen Aufklärungsbedarf. Viele sind wohl immer noch auf dem Trichter man bräuchte diese Maßnahmen um gegen die "Terroristen" die angeblich überall lauern vorgehen zu können.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
15.10.2011, 13:07
Member
Avatar Xeper

Beiträge: 5289
#37

Zitat

Trotzdem lässt sich das Ergebnis nicht allein mit Ungereimtheiten bei der Erhebung erklären, es gibt hier wie ich finde noch großen Aufklärungsbedarf.
Da zweifle ich mal eher die Authentizität dieser Umfrage an, niemand kann mir erzählen das plötzlich soviele Menschen gerne eine Hausdurchsuchung erhalten möchten.
Wen wollen die denn zum Narren halten....
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode
Seitenanfang Seitenende
16.10.2011, 18:35
Member
Themenstarter

Beiträge: 3306
#38 Bundesinnenminister Friedrich im FAZ Interview:
http://www.faz.net/aktuell/politik/im-interview-bundesinnenminister-friedrich-csu-es-gibt-keine-rechtliche-grauzone-11494291.html

Auf die Frage ob man jetzt munter mit anderen Trojanern und Co. weitermacht:

Zitat

Ja. Sollen wir die organisierte Kriminalität laufen lassen? Den Drogenhandel? Den Menschenhandel? Den Waffenschmuggel? Und was ist mit dem Terrorismus? Denn nur gegen solche schweren Verbrechen gehen wir auch mit Hilfe von Überwachungssoftware vor.
Und ob es nicht rechtlichen Klärungsbedarf gäbe:

Zitat

Wir nutzen die Quellen-Telekommunikationsüberwachung, um auf richterliche Anordnung organisierte Kriminalität und Terrorismus zu bekämpfen.
Ja genau, ausschließlich bei Terrorismus, Menschenhandel und Kinderschändern, wer's glaubt wird seelig.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
20.10.2011, 13:55
Member
Themenstarter

Beiträge: 3306
#39 Gestern gab es eine "Aktuelle Stunde" zum Thema Online-Überwachung im Bundestag:
Staatstrojaner sorgen für Schlagabtausch im Bundestag

Hier gibt es eine schöne Liste von allen Redebeiträgen als Videos (MP4):
http://forum.gleitz.info/showthread.php?25965-Artikel-zu-allgemeinen-Themen&p=423339&viewfull=1#post423339

Das ist durchaus interessant wer da was sagt, der feine Herr Friedrich hatte beispielsweise keine Lust auf die Diskussion und blieb der Sitzung fern (siehe auch Ein Ignorant namens Hans-Peter Friedrich (Stern)). Aber auch die Opposition ist bei diesem Thema gespalten, einige fordern der Staat solle den Trojaner selbst programmieren oder zumindest den Quellcode unabhängig prüfen lassen.
Das hilft meiner Meinung nach niemandem etwas, man muss solche Software einfach komplett verbieten.
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
20.10.2011, 19:35
Member

Beiträge: 3716
#40 na aber jede neue datei verschlüsselt mit einem crypter ist ein neues sample.
ich spreche nicht von komplett neuen familien.
naja beweisen muss ich dir das nicht, stelle doch mal nachfragen an av firmen, wie viel malware sie so reinbekommen pro tag und wie viel sie verarbeiten, das ist nur ein bruchteil und das meiste bleibt unerkannt.
http://www.securityweek.com/new-malware-jumps-73000-samples-every-day-says-pandalabs
hier was von panda, gibt von andern firmen ähnliche statistiken.
Seitenanfang Seitenende
20.10.2011, 21:46
Member
Avatar N1con

Beiträge: 395
#41 Mittlerweile sollte der ja auch von allen erkannt werden, auch wenn gezippt.
Auch die UTM-Firewalls liegen da im Trend.
Hier mal als beispiel nen Screenschot, als ich mir ebend die Binaries vom CCC anschauen wollte.

__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier ;)
Protecus Spenden
Seitenanfang Seitenende
20.10.2011, 22:32
Member
Avatar N1con

Beiträge: 395
#42 So da ich nun die Daten habe, interessiert es mich natürlich auch mal wie ich mir die genauer anschauen kann. In wie fern muß ich jetzt nen assembler oder deassambler nutzen und gibt es von solch einer software irgendwo nee free oder shareware zum test ?
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier ;)
Protecus Spenden
Seitenanfang Seitenende
20.10.2011, 22:53
Member

Beiträge: 546
#43 N1con schrieb:

Zitat

Mittlerweile sollte der ja auch von allen erkannt werden, auch wenn gezippt.
Das ist ein Trugschluß. Dein Scanner erkennt ein nicht aktives Sample dieser(!) Version der Schadsoftware. Anders sehe es aus, wenn dein System
händisch durch eine Dritte Person infiziert wurde und die Malware in einer neueren, aktuelleren Variante aktiv wäre. Dein bzw. die Scanner würde(n) dumm sterben.

Da es nie vorgesehen war, dass das Teil in-the-wild auftaucht und das Programm selber auch keinen Wert auf Verbreitung legte, kann für kommende
oder bereits existente Typen dieses "Trojaners" davon ausgegangen werden, dass es keine Erkennungspattern geben wird. Und da Heuristik nicht funk-
tioniert...

Macht aber nichts, denn Otto Normalo wird niemals Kontakt mit dem Schrott haben. Ergo ist es mir sowas von Schnuppe, ob irgendwelche Scanner
nun veraltete Software erkennen und diese als Bundestrojaner v1.0 identifizieren. Zumal es wirklich nicht aufregend ist, dass mittlerweile ein nicht
aktives Stück Malware, welches als "Source Code" verfügbar ist, erkannt wird.

Beim erstmaligen Prüfen der Schadsoftware mit div. Antiviren-Programmen wurde das Teil nicht erkannt:

Zitat

Jens Hektor <hektor@rz.rwth-aachen.de> wrote:
> Am 10.10.2011 07:45, schrieb Volker Birk:
>> https://www.virustotal.com/file-scan/report.html?id=be36ce1e79ba6f97038a6f9198057abecf84b38f0ebb7aaa897fd5cf385d702f-1318221701
> Wie war eigentlich die Erkennungsrate,
> als Ihr das Ding in die Finger bekommen habt?

Null.

Viele Grüsse,
VB.
(Quelle: de.org.ccc)
Seitenanfang Seitenende
20.10.2011, 23:01
Member
Avatar N1con

Beiträge: 395
#44 hmm ... aus der Sicht habe ich es noch nicht betrachtet .. danke für den wink ;)
__________
Wenn ich euch geholfen habe, könnt ihr gerne ans Board spenden, auch ich freue mich über einen kleinen Obolus für mein Feierabendbier ;)
Protecus Spenden
Seitenanfang Seitenende
27.10.2011, 22:25
Member
Themenstarter

Beiträge: 3306
#45 Der CCC hat nun auch eine neuere Version der Trojaners zerlegt:
http://www.ccc.de/de/updates/2011/analysiert-aktueller-staatstrojaner
http://www.ccc.de/system/uploads/83/original/staatstrojaner-report42.pdf
__________
Bitte keine Anfragen per PM, diese werden nicht beantwortet.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: