LNP033 Hallo Steffi

Die Sommersendepause ist vorbei und Linus und Tim stürzen sich wieder in die Berichterstattung. Die letzten drei Wochen haben trotz Sommerloch ausreichend Material für eine überlange Folge geliefert.

Dauer: 01:22:26

avatar Linus Neumann Paypal Bitcoin Amazon Wishlist
avatar Tim Pritlove Paypal Bitcoin Amazon Wishlist

Das Leistungsschutzrecht soll nur noch gegen Suchmaschinen gelten

Das Justizministerium legt einen zweiten Referentenentwurf für das Leistungsschutzrecht vor.

Der Bayerntrojaner ist tot. Lang lebe der Bayerntrojaner!

Der Prüfbericht des bayerischen Landesbeauftragten für Datenschutz wird sowohl von Gegnern, als auch Befürwortern des Staatstrojaners als Bestätigung gesehen.

Staatstrojaner von Gamma und Hacking Team entdeckt

Malware-samples zweier international vertriebener IT-Überwachungssysteme wurden von Experten analysiert.

Verlängerung der Schutzfristen im Urheberrecht

Eine EU-Richtlinie von 2011 sieht die Vereinheitlichung der Schutzfristen im Urheberrecht vor.

Kim Schmitz kämpft mit Liedgut und Abmahnungen für das freie Internet

Nachdem sein Kampf gegen den deutschen Journalisten Torsten Kleinz, den Kim Schmitz mit einstweiligen Verfügungen führte, durch Schmitz’ Verhaftung jäh unterbrochen wurde, bemüht er sich nun wieder als Sänger – und stellt sich auf eine Ebene mit DR. Matin Luther King.

Zeit Online stellt Leaking-Plattform vor

Die Redaktion von Zeit Online bietet einen anonymen Briefkasten für Dokumente an. Der Source-Code ist offen und frei.

Epilog

Olympiade ≠ olympische Spiele.

25 Gedanken zu “LNP033 Hallo Steffi

  1. Danke für diese gute Folge.

    Und wieder mal die Erinnerung: wenn´s um Server und Ports, Pings und Snorts geht, dann müsst ihr an diejenigen denken, die sich nicht auskennen.

    • Hey,
      Vielen Dank für den freundlichen Hinweis und Sorry, dass ich das manchmal nicht bedenke – Berufskrankheit :)

      Die etwas bekömmlichere Einstiegsfolge zum Thema Malware ist übrigens diese hier, falls dich das Thema trotzdem interessiert…

  2. Das Anmelden von Seiten für Google News ist AFAIK nicht Pflicht für alle. Seit dem Start gab es eine Auswahl, die von Google bzw. seinen Algorithmen bestimmt wurde. Nur wenn man explizit selbst rein will, obwohl der Automatismus das nicht getan hat, muss man sich inhaltlich und technisch qualifizieren.

  3. Seid ihr sicher, dass das LG Landshut die Screenshots genehmigt hatte? Ich hab da nämlich im Hinterkopf, dass die Screenshots, die die Digitask-Wanze vom Browser gemacht hatte gerade ausdrücklich verboten wurden. Mal ganz davon abgesehen, dass im Ermittlungsbeschluss nur von Telekommunikation die Rede war, und Screenshots nur mit ziemlicher Verrenkung da noch drunter passen.

  4. bitte verlinkt doch im rss feed wieder die mp3 datei, anstatt der m4a datei.
    ich höre euren schönen podcast immer gerne übers handy und lade ihn über den rss feed, und bei android können die meisten player kein m4a

    Danke :)

    mfg thomas

  5. oh man!

    ich lach mich schon seit einer minute nur über die ersten 10 sec tot!
    ich muss die mir immer und immer wieder reinziehen.

    vorallem Linus sein lachen über was er wohl gerade noch twittert…

    KÖSTLICH!
    jetzt muss ich mir die restlichen 4935 sec anhören :)

    gruss
    und vielen DANK

  6. Ihr sagt ja, dass Gamma/FinFisher wirklich professionell vorgehen. Ich muss gestehen, dass ich da keinerlei Fachwissen habe, aber einige Dinge haben mich doch verwundert:

    - Der Code enthält den String finspy (incl. Versionsnummer, wenn ich mich recht erinnere)
    - Das Programm wurde per E-Mail verschickt (Waren bei Gamma leichtsinnig, oder war ihnen die Entdeckung egal?)
    - exe.blablabla.jpg <– Ich würde sowas nicht öffnen. BTW: Ist Right-to-Left Override nicht ein bekannter Trick?
    - Linus sinngemäß: "Die E-Mail kam den Aktivisten komisch vor" (Dem kann ich nichts hinzufügen)
    - "Hallo Steffi!" auf Servern in diversen Ländern (Wenn's schon unbedingt sein muss, hätte es nichts stilvolleres sein können, à la "0zapftis"?)
    - Krypto wurde gebrochen

    Kann man das so interpretieren, dass Gamma z.T. etwas nachlässig war?

    • > “Ihr sagt ja, dass Gamma/FinFisher wirklich professionell vorgehen.”

      Ich meinte damit eher die Qualität der Malware. Es gilt hier zu unterscheiden:

      1. Infektionsweg (wie geschickt bringe ich den Opferrechner zum Ausführen des Codes? In diesem Fall sehr dilettantisch) und

      2. Art und Aufrechterhaltung der Infektion (Wie gut versteckt sich der Code, wie tief nistet er sich ein, welche Maßnahmen unternimmt er gegen Entdeckung? In diesem Fall sehr professionell)

      > “- Der Code enthält den String finspy (incl. Versionsnummer, wenn ich mich recht erinnere)”

      Ja, irgendwo im Hex. Auf jeden Fall ein Lapsus.

      > “- Das Programm wurde per E-Mail verschickt (Waren bei Gamma leichtsinnig, oder war ihnen die Entdeckung egal?)”

      Hier scheint die verantwortliche Stelle (“Behörde”) eher gespart zu haben. Vielleicht konnte man sich Finfly (siehe Video) nicht leisten, oder wusste nicht, welchen Rechner/Anschluss man infizieren wollte. So griff man zu diesem eher auffälligen Infektionsweg. Die Malware war trotzdem anscheinend für jedes Opfer maßgeschneidert.

      > “- exe.blablabla.jpg <– Ich würde sowas nicht öffnen. BTW: Ist Right-to-Left Override nicht ein bekannter Trick?”

      Ja, ist seit langem und in vielen Bereichen bekannt.

      > “- Linus sinngemäß: “Die E-Mail kam den Aktivisten komisch vor” (Dem kann ich nichts hinzufügen)”

      Absolut. Wie gesagt, Infektionsweg und Infektion selbst lassen hier einen großen Qualitätsunterschied erkennen. Ich denke dass es diesem zu verdanken ist, dass Finspy überhaupt entdeckt wurde. Stelle dir vor, du bekommst den Trojaner einfach beim nächsten Betriebssystem-Update mit eingespielt bekommen.

      > “- “Hallo Steffi!” auf Servern in diversen Ländern (Wenn’s schon unbedingt sein muss, hätte es nichts stilvolleres sein können, à la “0zapftis”?)”

      Ja, wenn es dann rauskommt, klingt es popelig – aber besonders verdächtig ist ein Server, der “irgendetwas” auf 80 antwortet, auch nicht.

      > “- Krypto wurde gebrochen”

      Die Krypto wurde nicht gebrochen, das war eine ordentliche. Gebrochen wurde der Mechanismus zur Generierung der Keys. Der muss aber irgendeinem Muster folgen, wenn man einerseits immer andere Key haben möchte (sehr gute Idee) und der Server trotzdem in der Lage sein soll, das empfangene zu entschlüsseln. Die Key Generation kann man also komplizierter machen, muss man aber nicht. Man ill sich ja gegen Dritte wehren, die die Kommunikation mit dem C&C-Server abhören. So lange die Malware nicht entdeckt ist, ist das in ausreichendem Maße der Fall. Danach wurde offensichtlich schnell umgesattelt.

      > “Kann man das so interpretieren, dass Gamma z.T. etwas nachlässig war?”

      Nachlässig war es, die Malware auf einen so unangemessenen Infektionsweg zu schicken, wenn man sehr viel bessere technische Möglichkeiten hat. Vielleicht gab es hier aber keinen anderen Ausweg.

      Bedenke aber: Wenn die ausgewählten Opfer nicht aufgepasst hätten, eine erfolgte Infektion hätten sie nur mit sehr, sehr geringer Wahrscheinlichkeit entdecken können.

      Auch sind mir bisher keine Fälle von anderen Opfern bekannt, die Finspy bei sich entdeckt hätten, obwohl es sicherlich eine 3-, wenn nicht 4-stellige Anzahl von Opfern weltweit gibt.

      Fazit also: Malware von hohem Niveau, die wir deshalb in die Finger bekommen haben, weil sie leichtsinnig plump versandt wurde. Dennoch reichte diese Entdeckung nicht aus, um die Prävalenz einzudämmen.

      • Danke für die ausführliche Antwort!

        E-Mail als Angriff erscheint mir echt problematisch. Einerseirs mag es sein, dass es ‘ne Menge unachtsame Empfänger gibt. Aber dass die Aktivisten soviel Aufwand getrieben haben, die verdächtigen Dateien analysieren zu lassen, zeigt ja schon, dass sie da gleich gewusst haben, dass da “mehr” dahinter ist als gewöhnlicher Spam. Ein hohes Risiko für die Geheimdienste. Und letztlich ist das auch ein Problem für Gamma, wenn die Sachen auffliegen.

    • Ich weiß nicht genau, worauf diese Frag abzielt, aber ich denke nicht dass die Forensiker noch viel anderes angeschaut haben, als die Malware selbst, oder direkt auf sie bezogenes.

      Ansonsten habe ich den Bug so verstanden, dass ein Teil des FinFly Binär-Codes selbst den Crash des Debuggers auslöste.

      • Ich dachte, es könnte vielleicht Konstellationen geben, wo die Infektion des Rechners nicht bekannt ist, aber der Debugger aufgrund von Abstürzen auf die Infektion aufmerksam macht. Aber das ist wahrscheinlich Unsinn.

        Es geht wohl nur darum, dass sich die Malware selbst gegen Debugging verteidigt.

  7. Mr Kimble: ihr oder Thorsten müsst was mit der englischsprachigen Presse machen. Die sind auf dem Auge teils ganz schön blind. Hatte vor ein paar Wochen einen ArsTechnica “Aufreger” im Twitter. Timothy B. Lee (bezog sich auf dessen Ars Artikel vom 27.7.2012), jedenfalls retweete ein Lob von Mr Schmitz an die Ars für die freundliche Berichterstattung in o.g. Artikel. Ich hatte Thorsten Heins/z auf dem Twitter auch schon darauf aufmerksam gemacht – Mr Lee war wohl aber noch nicht überzeugt Mr Schmitz keinen Raum mehr zu geben. Mich kennt nur da drüben keiner – also hab ich da keinen Einfluss. Aber vielleicht jemand von Euch.

  8. Pingback: Das Internet vergisst eben doch! | Kultur2Punkt0

  9. Pingback: LNP043 Leichenschutzrecht | Logbuch:Netzpolitik

Add Comment Register

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>