Kompromittierte IT-Systeme?

ZH_Peter_7e9720 · 8. November 2019 um 22:02

Guten Tag

Dieser Artikel hat mich in meinen Ansichten wiedermal bestätigt:
http://www.nzz.ch/2005/05/31/vm/articleCUVZE.html

Wer glaubt, dass sein PC / Windows nicht kompromittiert ist, weil die Viren- und Trojanerscanner sowie die ersten Rootkitscanner nichts finden, der schlafe weiter… :->

Ach ja, da gibt es aus der Handelszeitung (Wirtschaftsblatt) einen ähnlich pessimistischen Bericht über Kreditkarten. Aber das spielt sich ja nicht auf dem PC ab

Ach ja… nicht vergessen genügend Rohlinge zu kaufen für die permanenten Images der Installierten Software und rücksichtslos sofort das Image zurückspielen, wenn AD Aware und Konsorten Alarm geben…

viele Grüsse
Peter

PS:
@MOD
da der Artikel ols OT zu betrachten ist, willige ich vorbehaltlos einer Löschung zu

Hinterw_ldler_37172f · 8. November 2019 um 22:03

Guten Tag Peter

da der Artikel ols OT zu betrachten ist, willige ich
vorbehaltlos einer Löschung zu

Warum [OT], das verstehe ich nicht, wir sind doch auf einer Diskussionsplattform, auf welcher jeder seine Meinung äusern darf. Bei http://www.wer-weiss-was.de/cgi-bin/forum/board.fpl?.. wird es doch auch getan.

Ich glaube eher, das dies einige Leute sich hinter den Spiegel stecken müssen, um es jeden morgen und jeden abend beim Zähneputzen lesen können. Ein Unterschied gibt es noch, kranke Zähne macht der Zahnarzt, einen kranken PC ausschlieslich der Leichenbestatter.

der hinterwäldler

ZH_Peter_7e9720 · 8. November 2019 um 22:03

Salü Hinterwäldler

Dieser Artikel ist OT, weil das Ziel des W-W-W ist Wissensaustausch auf Gegenseitigkeit. Also i.d.R. Frage -> Antwort.

Der Artikel generiert weder Wissen, noch ist es eine Antwort.
Somit ist es OT. Was wiederum heisst „waste of diskspace“. Was logischerweise den Griff zur Spülung nahelegt…

Grüsse
Peter

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

C_J_ed2faf · 8. November 2019 um 22:03

Hi,

„Nur ein kaputter PC ist ein sicherer PC“.

Schönen Gruß

Chris

Schorsch_de7743 · 8. November 2019 um 22:04

Kompromittierung entdecken

Dieser Artikel hat mich in meinen Ansichten wiedermal
bestätigt:
http://www.nzz.ch/2005/05/31/vm/articleCUVZE.html

Wer glaubt, dass sein PC / Windows nicht kompromittiert ist,
weil die Viren- und Trojanerscanner sowie die ersten
Rootkitscanner nichts finden, der schlafe weiter… :->

Mich verwundert an der Sache, dass dieser Trojaner nicht längst bekannt ist. Um in einem Firmennetz unbemerkt zu bleiben, müssen entweder die Sicherheitsmaßnahmen sehr lasch sein, oder der Trojaner muß automatisch Proxyeinstellungen z. B. vom IE übernehmen. Selbst in dem Fall muss er zwar auffällige Spuren in den Proxy-Protokollen hinterlassen, da kann ich mir aber vorstellen, dass ein Administrator die eigenartigen Surfgewohnheiten der Geschäftsführung (an die sich dieser Trojaner speziell wendet) in gewissem Ausmaß ignoriert.

Ich habe daher den Eindruck, dass dieser Spionagefall derzeit ein bisschen hoch gespielt wird. Spionageprogramme zu entdecken bedarf es in Firmennetzen keiner Viren- oder Trojanerscanner, eine regelmäßige Analyse der Firewall- und Proxy-Protokolle auf bedenkliche Zugriffe sollte ausreichen. Wäre dieser Trojaner also einer Vielzahl von Unternehmen erfolgreich untergeschoben worden, hätte er längst entdeckt werden müssen.

Gruss
Schorsch

M_L_ · 8. November 2019 um 22:04

Hierzu ein Bericht des Manager Magazins
Salü.

Wie im Titel schon gesagt (als braver w-w-w’ler soll man seine Absicht ja in die Titelzeile schreiben ) ein Bericht des MM zu diesem Thema: http://www.manager-magazin.de/it/artikel/0,2828,3583…

…und noch ein wenig Werbung für das DotNetPro Magazin: http://www.dotnetpro.com/about/

Viel Spass damit
mfg M.L.

A_J_4b7c14 · 8. November 2019 um 22:04

Ich habe daher den Eindruck, dass dieser Spionagefall derzeit

Ich finde es eher peinlich für die betroffenen Firmen bzw. deren IT, dass sowas überhaupt möglich war.

Spionageprogramme zu
entdecken bedarf es in Firmennetzen keiner Viren- oder
Trojanerscanner, eine regelmäßige Analyse der Firewall- und
Proxy-Protokolle auf bedenkliche Zugriffe sollte ausreichen.
Wäre dieser Trojaner also einer Vielzahl von Unternehmen
erfolgreich untergeschoben worden, hätte er längst entdeckt
werden müssen.

Da wäre ich mir nicht so sicher. In welcher Firmen-IT wird den tatsächlich regelmäßig eine Analyse des Firewall- bzw. Proxy-Logs durchgeführt ? Woher sollen die Admins dafür Zeit nehmen und vor allem welcher Chef gesteht dem Bereich Security tatsächlich soviel Manpower zu ?
Und was bedeutet „bedenkliche Zugriffe“ ? Bei der Datenmenge eines solchen Logs ist es meiner Meinung nach mehr als Zufall, tatsächlich gefährliche Logeinträge zu finden bzw. die überhaupt als gefährlich einzustufen.
Im Firewall-Log sieht es nicht viel anders aus, es sei denn Du verwendest eine Firewall die auch auf Application Ebene arbeitet und somit Angriffe, Trojaner und sonstige gefährlichen Dinge erkennt, unterbindet und protokolliert/meldet.

Man kommt nicht um ein ordentliches Sicherheitskonzept mit mehrstufigem Antiviren-Konzept herum. Sich auf Logs zu verlassen wäre mehr als fahrlässig.

Peter_TOO · 8. November 2019 um 22:05

Fazit:
Hallo ZH,

Dieser Artikel hat mich in meinen Ansichten wiedermal
bestätigt:
http://www.nzz.ch/2005/05/31/vm/articleCUVZE.html

Tja, Geiz ist Geil: Sicherheit kostet etwas, den Schaden erhält man gratis

Da bringt natürlich die beste Firewall nichts, wenn man den Trojaner von CD installiert …

Malware-Scanner suchen halt nur nach bekantem! So ein Trojaner von dem vielleicht 100 Stück existieren, löst halt keinen Alarm aus.

Jegliche Form von Verkehr birgt Risiken.

Muss wirklich jeder PC ans Internet angeschlossen werden ?

MfG Peter(TOO)

Sebastian · 8. November 2019 um 22:05

Hallo,

Mich verwundert an der Sache, dass dieser Trojaner nicht
längst bekannt ist.

Mich irgendwie nicht.

Um in einem Firmennetz unbemerkt zu
bleiben, müssen entweder die Sicherheitsmaßnahmen sehr lasch
sein,

„man praxis“

oder der Trojaner muß automatisch Proxyeinstellungen z.
B. vom IE übernehmen.

Tja, warum eigentlich nicht?

Selbst in dem Fall muss er zwar
auffällige Spuren in den Proxy-Protokollen hinterlassen, da
kann ich mir aber vorstellen, dass ein Administrator die
eigenartigen Surfgewohnheiten der Geschäftsführung (an die
sich dieser Trojaner speziell wendet) in gewissem Ausmaß
ignoriert.

Naja, die Surfgewohnheiten der Geschäftsführung ist hoffentlich nicht das Feld mit dem größten KnowHow der Netzwerker. Wenn man die Sache perfektioniert (und das scheint dem Autor gelungen zu sein) kommuniziert man per HTTPS und gibt dem eigenen Server einen Namen, der
so klingt, als könnte die Geschäftsführung einen gutem Grund haben ihn rechtmäßig zu kontaktieren (also eher nicht dresden.volkswagen.tunnel.informationsdiebstahl.ru.

Ich habe daher den Eindruck, dass dieser Spionagefall derzeit
ein bisschen hoch gespielt wird. Spionageprogramme zu
entdecken bedarf es in Firmennetzen keiner Viren- oder
Trojanerscanner, eine regelmäßige Analyse der Firewall- und
Proxy-Protokolle auf bedenkliche Zugriffe sollte ausreichen.

Pfff, was ist ein „bedenklicher Zugriff“?

Wäre dieser Trojaner also einer Vielzahl von Unternehmen
erfolgreich untergeschoben worden, hätte er längst entdeckt
werden müssen.

Mag sein. Dennoch interessant, wie gut Social Engeneering funktioniert. Vermutlich werden per Mail verschickte EXE-Dateien nicht mehr unbedingt bewußt und freiwillig ausgeführt, wenn man das als CD in einen klassischen Brief tut offenbar doch.

Die Spione der Zukunft müssen vielleicht in Schlips und Kragen vorbeikommen, um Scheffe dazu zu bringen, die Präsentation auf seiner Hardware auszutesten ("ich kann Ihnen das auf meinem Mac vorführen, für sie ist die PC-Version, die ich auf CD dabei habe aber vermutlich interessanter …)

Gruß,

Sebastian

Schorsch_de7743 · 8. November 2019 um 22:06

Man kommt nicht um ein ordentliches Sicherheitskonzept mit
mehrstufigem Antiviren-Konzept herum. Sich auf Logs zu
verlassen wäre mehr als fahrlässig.

Na, von ‚darauf verlassen‘ habe ich aber nichts geschrieben. Aber tatsächlich ist auch in einem mehrstufigen Sicherheitskonzept die Firewall oder der Proxy die letzte Hürde. Alle anderen Hürden muss auch der Trojaner, solange er nicht bekannt bzw. entdeckt ist, nehmen können. Auch die Application-Firewall wird nicht viel ausrichten, wenn der Trojaner sich als IE (wieweit der auf einen PC mit Zugriff auf relevante Daten gehört, ist eine andere Frage) ausgibt oder gar den IE direkt für seine Zwecke einspannt.

Und die regelmäßige Analyse von Protokollen gehört m. E. schon zwingend zum Job des Admins. Nicht auf Ebene der einzelnen Log-Einträge, aber zumindest auf der Ebene statistischer Auswertungen. Und da sollte z. B. auch auffallen, wenn der eingeschaltet gelassene PC des Nachts, wenn alle Geschäftsführer schlafen, Verbindungen nach aussen unterhält oder Daten versendet.

Aber klar, das ist alles sehr vage und wie der von dir und von Sebastian zu Recht bemängelte Begriff der „bedenklichen Zugriffe“ sehr schwammig.

Andererseits aber reden wir hier über einen aktiven Zeitraum des Trojaners von mind. sechs Monaten (Erstentdeckung in Israel 11 2004), und da muss ein Trojaner sich schon sehr, sehr gut verstecken, wenn er in einer Vielzahl von Installationen so lange unentdeckt bleiben will.

Gruss
Schorsch

Andreas_aus_dem_Norden_7e1946 · 8. November 2019 um 22:06

Hallo,

wenn ich das so lese krame ich gleich wieder meine Linux-Installations-CD’s raus.

Gruss

Andreas

A_J_4b7c14 · 8. November 2019 um 22:09

Auch die
Application-Firewall wird nicht viel ausrichten, wenn der
Trojaner sich als IE (wieweit der auf einen PC mit Zugriff auf
relevante Daten gehört, ist eine andere Frage) ausgibt oder
gar den IE direkt für seine Zwecke einspannt.

Hm, das ist ein interessanter Aspekt, aber ich rede jetzt nicht von Appication-Ebene einer PFW. Ich denke dabei jetzt eher an eine Checkpoint-Firewall die da schon etwas mehr drauf hat. Ob die jetzt aber alles abfangen kann bezweifle ich auch. Auf jeden Fall sollte diese Firewall schon die üblichen Verdächtigen erkennen können.

aber zumindest auf der Ebene statistischer
Auswertungen. Und da sollte z. B. auch auffallen, wenn der
eingeschaltet gelassene PC des Nachts, wenn alle
Geschäftsführer schlafen, Verbindungen nach aussen unterhält
oder Daten versendet.

Jep natürlich, aber wahrscheinlich wertet man solche Dinge in recht grossen (für Security-Verhältnisse) Zeiträumen aus und dann kann schon zuviel passiert sein.

Andererseits aber reden wir hier über einen aktiven Zeitraum
des Trojaners von mind. sechs Monaten (Erstentdeckung in
Israel 11 2004), und da muss ein Trojaner sich schon sehr,
sehr gut verstecken, wenn er in einer Vielzahl von
Installationen so lange unentdeckt bleiben will.

Wie gesagt, dass ist mehr als peinlich für die Admins der betroffenen Firma/Firmen.

Gruss
AgentJ