Forensic Investigations / Fi Blog

Fi Blog

Microsoft ließe die Whistleblower -Website Cryptome.org über den sogenannten "DMCA Takedown Request" (Unterlassungsersuchen gegen den Provider eines Urheberrechtsverletzers) vom Netz nehmen, berichtete Heise Online.

Der Grund wäre die Veröffentlichung des 'Microsoft Online Services Global Criminal Compliance Handbook', sowie einiger Dokumente zur Forensik von Windows 7, die eigentlich polizeilichen Ermittlern und Geheimdiensten vorbehalten bleiben sollten.

Während die Dokumente zu Windows 7 keine besonderen Informationen liefern, die man nicht auch sonst öffentlich bei Microsoft einsehen könnte, wird im 'Global Criminal Compliance Handbook' erstmals genau dokumentiert, welche Daten seiner Nutzer Microsoft über seine Online-Dienste wie den Email-Dienst MSN Hotmail, den Authentifizierungsdienst Windows Live ID, den Online-Festplatten Office Live Workspace & Windows Live SkyDrive sowie den Online-Gaming-Dienst Xbox Live überhaupt erhebt und wie lange das Unternehmen sie speichert. Ähnliche Dokumente waren auch zu anderen Online-Diensten durchgesickert, darunter Facebook, MySpace, Skype und PayPal, um nur die in Deutschland populärsten zu nennen.

Noch ein paar Informationen zum Hintergrund: Cryptome.org ist eine seit 1996 aktive Whistleblower-Website des Aktivisten John Young, die bereits 1999 in die Schlagzeilen geriet, als sie 100 Namen angeblicher Agenten des britischen Geheimdiensts MI6 veröffentlicht hatte. Sie wurde 2003 Opfer eines Defacements und 2007 vom ihrem damaligen Hostprovider Verio wegen angeblicher Verletzung der Nutzungsbedingungen hinausgeworfen .

Bereits im November 2009 hatte Cryptome.org Ärger mit Microsoft wegen der Veröffentlichung des Ermittler-Tools Microsoft COFEE , wie ich berichtet hatte.

UPDATE 26.02.2010: Microsoft habe es sich offenbar kurzfristig anders überlegt und zöge die Beschwerde zurück

UPDATE 08.03.2010: PayPal schlüge auch zu und fröre den Account von Cryptome.org ein

UPDATE 10.03.2010: Obwohl PayPal öffentlich bekannt gegeben habe, der Account sei wieder geöffnet worden, habe John Young weiterhin keinen Zugriff darauf. Er habe PayPal daraufhin als "Lügner, Betrüger und Verbrecher" bezeichnet .

UPDATE 11.03.2010: PayPal habe den Account nun wirklich wieder geöffnet

UPDATE 16.03.2010: PayPal habe sich nun entschuldigt


Die Bundesregierung unterstütze die Botnetz-Bekämpfung der "Anti-Botnet-Initiative" des eco-Verbands der deutschen Internetwirtschaft e.V. mit 2 Millionen Euro, berichtet Heise Online. Man wolle dazu "in der ersten Jahreshälfte 2010" eine "Beratungsstelle einrichten, die Anwender dabei unterstützen soll, ihren Rechner von Viren und Bots zu befreien".

Dafür, dass das ganze bereits seit Ende 2009 am Laufen ist, gibt die Suche auf der eco-Website noch erstaunlich wenig Substanz her. Es bleibt abzuwarten, ob dieses Geld einen Nutzen bringt, oder sinnlos in den Rachen eines Lobbyisten-Verbandes geworfen wird.

Ich persönlich halte das Unterfangen Rechner von Viren oder Bots zu befreien für nahezu aussichtslos, da erhältliche Anti-Viren-Produkte kaum in der Lage sein dürften, die im Umlauf befindlichen hochresistenten Schädlinge automatisch zu desinfizieren. Man hat ja schon Glück, wenn die Schädlinge überhaupt erkannt werden (siehe z.B. Erkennungsquote hier unter "AV detection" oder mal akutuelle Bedrohungen aus einschlägigen Researchblogs auf VirusTotal mitverfolgen). Technisch ist es auch kein Problem, unerkennbare, polymorphe und hochresistente Schädlinge in beliebigen Mengen herzustellen. Underground-Dienste wie hxxp://virtest.com/ erlauben es zudem, die Erkennungsquote der im Handel befindlichen Anti-Viren-Produkte abzufragen und die Erkennungsquote auf Null herunterzutreiben. VirTest funktioniert analog zu VirusTotal, leitet die hochgeladenen Dateien aber im Gegensatz zu diesem nicht an Sicherheitshersteller weiter, wie u.a. hier berichtet wurde.

Es ist geplant, per Call-Center telefonische Hilfestellung zu geben, wenn die automatische Desinfektion scheitert. Es dürfte selbst für die besten Experten eine große Herausforderung und eine tagfüllende Angelegenheit werden, dies mit einem Laien am anderen Ende der Leitung zu bewerkstelligen. Wird lediglich ein einzelner kleiner Registrierungseintrag oder irgendwo eine infizierte EXE- oder PDF-Datei (unter tausenden von Einträgen und Dateien) vergessen, installieren die meisten aktuellen Schadprogramme ihren ganzen Plunder wieder von Neuem.

Einem so einmal kompromitierten Windows-System kann man zudem nie wieder vertrauen. Bei jedem Aufruf des Online-Banking kommt das ungute Gefühl auf, es versteckt sich doch noch irgendwo etwas, das berühmte "Restrisiko", dass einem wie bekannt leicht den Rest geben kann.

Aber die Problematik geht schon vor der Bekämpfung los, nämlich mit der Erkennung. Die verwendete passive Erkennung über Honeypots , Spamtraps und die Auswertung von Denial-of-Service -Attacken und externe Beschwerden zusammengetragen werden. Während man sich an anderer Stelle nicht scheut, tiefe Grundrechtseingriffe mit zweifelhaftem Nutzen zu tätigen , die Millionen Kosten und von Menschen mit entsprechenden bösartigen Absichten in weniger als einer Minute umgangen werden können , wird ausgerechnet hier, wo es dem Schutz der Bürger vor einer echten Bedrohung dient, nicht aktiv eingegriffen. Nicht einmal eine Gesetzesänderung wäre hierfür nötig, §100 TKG erlaubt den Eingriff in Verbindungs- und Verkehrsdaten und sogar die Speicherung dieser Daten unter bestimmten Auflagen, wenn "tatsächliche Anhaltspunkte den Verdacht der rechtswidrigen Inanspruchnahme von Telekommunikationsnetzen und -diensten begründen", was ich für solche Fälle klar bejahen würde. Aus der Speicherung könnte man ebenfalls wertvolle Erkenntnisse für die Aufklärung von Straftaten gewinnen, die Speicherung ist schon jetzt auf die "bösen" Verbindungen beschränkt und sieht bereits die pseudonymisierte Speicherung von Bestandsdaten des Betroffenen vor, die für die Kriminalitätsbekämpfung auch ohnehin nicht gebraucht werden. Eine so perfekte Symbiose aus effizienter Kriminalitätsbekämpfung und vorbildlichem Datenschutz habe ich persönlich selten gesehen.

Ein aktiver Eingriff erlaubt zudem die sofortige Eliminierung der Gefahr. Immerhin "begehen" kompromitierte Rechner i.d.R. direkt Straftaten nach §202c "Vorbereiten des Ausspähens und Abfangens von Daten" und §303b "Computersabotage" StGB an Dritten, was ihre Besitzer u.U. schnell in Erklärungsnot bringt. Auch ein Opt-In oder -meiner Meinung nach besser- ein Opt-Out Verfahren wären hier sicherlich leicht möglich, wenn mir dies auch allenfalls für uns Sicherheitsforscher sinnvoll erscheint.

Mit der genannten passiven Methode, die eco dagegen plant, wird lediglich darauf gehofft, das eine kompromitierte Maschine irgendwann mal hoffentlich zufällig an einen dieser Honeypots gerät. Das "Prinzip Hoffnung" ist mir an dieser Stelle jedoch etwas zu wenig, zumal auch Cyberkriminelle wohl mitgekriegt haben, dass es Honeypots gibt. Es gibt auch diverse Methoden zuverlässig festzustellen, ob es sich bei dem vermeintlichen Opfer um einen Honeypot handelt, auf die ich hier jedoch nicht eingehen möchte.

Sobald die Millionen vom BMI eingetroffen sind, werden wir das mal nachhaltig regeln ;)

UPDATE 05.03.2010: Auch andere Spezialisten sehen die Honeypots deshalb bereits vor dem Aus oder zumindest bedroht .


Über die Website hxxp://www.neuenfirefoxonline.com/ würde ein manipulierter Firefox-Browser ausgeliefert, der Adware auf dem PC des Anwenders installiert, berichten WebSicherheit.org und The Register . WebSicherheit.org berichtet weiter, dass der manipulierte Firefox über Anzeigen bei Google gar noch prominent in Szene gesetzt worden wäre, wenn man mit den Worten "firefox download" gesucht hätte.

Hier gilt wieder einmal der Hinweis, Programme nur aus seriösen Quellen herunterzuladen, optimalerweise direkt vom Hersteller. Spätestens eine offensichtlich maschinell übersetzte Seite in gebrochenem Deutsch sollte einem zu denken geben.

Zudem sind alle offiziellen Firefox-Versionen mit einer digitalen Signatur der Mozilla Foundation versehen. Alle Windows-Versionen ab Windows 2000 sollten dies beim Starten des Setup-Programms anzeigen; erscheint keine Signatur-Anzeige mit "Mozilla Foundation" oder eine mit "Unbekannter Herausgeber", sind Zweifel geboten.

Aktuelle Virenscanner erkannten den manipulierten Firefox laut WebSicherheit.org. Warum also Google die Anzeige also präsentiert hat, bleibt fraglich.

UPDATE 03.09.2010: Authenticode-Signaturen bieten ebenfalls keine wirkliche Sicherheit mehr, da der als gebrochen bekannte MD5-Algorithmus immer noch unterstützt wird.

Spätestens seit Stuxnet ist bekannt, das auch digitale Signaturen keine wirkliche Sicherheit mehr bieten.

Der Anti-Virus-Hersteller F-Secure fand in seinen Schadsoftware-Archiven allein 548 Dateien, die mit dem W32.Induc.A Virus infiziert waren und eine gültige Signatur trugen .



Hier finden Sie aktuelle Themen und Hintergründe rund um Sicherheit, Internet und Recht, das Sachverständigenwesen und die Computer-Forensik.

Mon Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28