[linux-l] Kommissar Trojaner

Steffen Dettmer steffen at dett.de
Sa Dez 16 05:09:37 CET 2006


* Volker Grabsch wrote on Sat, Dec 16, 2006 at 00:04 +0100:
> On Fri, Dec 15, 2006 at 09:16:03PM +0100, Norman Steinbach wrote:
> > Was ich allerdings ebenfalls irgendwo 
> > gelesen habe, ist, dass sie die Provider dazu verpflichten wollen, einen 
> > zusätzlichen Rechner zwischen "das Internet" und ihre Kunden zu 
> > schalten,
> [...]
> > aber der Dateninhalt des Pakets den Trojaner beinhaltet.
> 
> Das passt schon fast zu perfekt in das Klischee der unangemessen
> aufwändigen, extrem teuren, nichtsbringenden Spionage-Maßnahmen, wie
> man sie sowohl heutzutage vom Innenminister als auch damals von der
> Staatssicherheit schon kannte.

Na ja, wenn man z.B.
- den GPG Schlüsselinhaber von paket.rpm dazu kriegt, einen Trojaner zu
  signieren (Staatsanwalt, Hack, Freundin entführen, ...)
- paket2.rpm als Sicherheitsupdate auszugeben (z.B. transparent-proxy,
  der die Fileliste vom onlineupdate ändert)
- den trojaner beim download entsprechend reinschiebt
dann wird auch ein GPG geschütztes Debian oder SuSE den Trojaner
installieren!

In der Praxis braucht man sicher gar keine signaturen. Einfach warten,
bis das Opfer irgendwas.exe von freedownloads.com holt oder man nutzt
eine der nie gefixten Windows-Bugs aus - der ISP kann ja alle Daten
mitlesen und ändern und damit jede TCP session hijacken, was
normalerweise ja schwierig ist.

Doch, da geht schon was!

> > Wie sie die zu infizierenden Rechner dazu bekommen wollen, den
> > binary-code der eingeschleusten Pakete auch auszuführen, darüber
> > weiß ich nichts. Aber wenn der einmal auf dem System ist, dürfte
> > weiterer Vollzugriff ein Leichtes sein.
> 
> Eben. Das eigentliche Problem ist als nach wie vor das "social
> hacking".  Wenn man die Leute erstmal dazu bringen kann, Schadcode
> auszuführen, dann funktionierts. Aber dann braucht man auch keinen
> extra Manipulator der Netzwerkpakete.

Hat man ihn aber doch und lohnt sich der Aufwand, kann man das viel
besser und unauffälliger tun. Zum Beispiel die vom Benutzer geladene
Datei on-the-fly manipulieren (lass es ein Windowsupdate sein oder
sowas) oder winzip-setup.exe, ...

Man kann das social engineering dann auch viel besser anpassen, weil man
ja z.B. schon mal raten kann, was der denn so macht (Linux, Win,
Spielen, Arbeiten, ...)

> Pack ein Spiel in Netz, kostenlos (braucht nichtmal freie Software zu
> sein), und das war's. Oder ein Filesharing-Tool (hat bei Kazaa ja auch
> geklappt, oder imesh, oder was es sonst noch gibt/gab).

Na ja, man möchte ja nur genau eine bestimmte natürlich Person
angreifen, da ist ein "Spiel in Netz" wohl nicht sooo gut geeignet ;)

> Wenn sie sich schon auf das Niveau des Gesocks hearblassen, das sie
> bekämpfen wollen (Spammer, Spyware, etc.), dann sollten sie auch
> dessen Methoden studieren. 

Ja, da bin ich mir sicher. Obwohl man die ja gar nicht bekämpfen will
(und auch Terroristen sind hier nicht das Ziel, die sind ja nur die
Ausrede, klar).

> Immerhin sind diese "dank" des Marktdrucks "auf natürliche
> (wirtschaftliche) Weise" schon sehr "weit entwickelt", wenn man das
> mal so sagen darf. Wobei die Anerkennung hier rein technischer Natur
> ist, so wie ich auch die 3D-Engine von Wolfenstein-3D damals
> bewunderte. (ein Ego-Shooter, sehr alt, lief damals flüssig(!) auf
> 486ern mit VGA-Grafikkarte)

Na, ich glaub da geht mehr. Wenn man z.B. eine Million Euro in die
Entwicklung eines Trojaners investiert (was ist hier schon ne Million)
und paar gute Leute ransetzt, kriegt man bestimmt was ziemlich cooles
hin.

Sven's Link http://page.mi.fu-berlin.de/~guckes/txt/worm.txt geht leider
gerade nicht (https://mlists.in-berlin.de/pipermail/linux-l/msg34349.html)

Leider findet Google den Text nicht. Komisch. Na ja, vielleicht
zensiert. loooooooooooool

oki,

Steffen

-- 
Dieses Schreiben wurde maschinell erstellt,
es trägt daher weder Unterschrift noch Siegel.





Mehr Informationen über die Mailingliste linux-l