Comments on: Bundestrojaner: Vorher denken, dann (besser doch nicht) handeln? http://www.rozo.at/it-security/bundestrojaner-vorher-denken-dann-besser-doch-nicht-handeln/2008/04/10/ Interesting? staff about IT security and other (IT related) topics Fri, 02 May 2008 09:04:10 +0200 hourly 1 http://wordpress.org/?v=3.0 By: rob http://www.rozo.at/it-security/bundestrojaner-vorher-denken-dann-besser-doch-nicht-handeln/2008/04/10/comment-page-1/#comment-30746 rob Fri, 02 May 2008 09:04:10 +0000 http://www.rozo.at/misc/bundestrojaner-vorher-denken-dann-besser-doch-nicht-handeln/2008/04/10/#comment-30746 <p>@iipeii: Wenn den Rechner wirklich kompromittiert wurde, wäre interessant, welche Schutzmaßnahmen bei dir (nicht) vorhanden waren:</p> <p># "Infektion" via Mailprogramm: Welche SW, welche (aktuelle) Version mit (welchen) Lücken? Führt Mail-SW automat. aktiven Mail-Content bzw. Anhänge (Bilder, etc.) aus.</p> <p># Windows: * Normale Arbeit mit mit Admin-Rechten?</p> <p>                 * Aktueller Patchlevel?</p> <p>                 * Unnötige Dienste / SW deaktiviert?</p> <p># Infektion vor Ort: Volle Systemverschlüsselung (Pre-Boot / BIOS) und/oder TPM vorhanden?</p> <p>Wobei die Novellierung des Sicherheitspolizeigesetz ja noch gar nicht durch ist, d.h. ein etwaiger Behördenzugriff aktuell ohnehin illegal wäre oder von anderen (Kriminellen, Nachrichtendienste) kam.</p> <p>Wie interessant du jedoch für ein gezielten, aufwendigen Angriff (von wem auch immer) wirklich bist, musst du dir aber ohnehin selbst überlegen.</p> <p>Mit etwas restriktiver SW-Wahl (weniger anfällige Betriebssysteme und Anwendungs-SW) geeigneter Konfiguration und laufender Wartung inkl. etwas Brain 2.0 kann man Schwachstellen / Ansätze der Angreifer stark reduzieren.<br /> </p> @iipeii: Wenn den Rechner wirklich kompromittiert wurde, wäre interessant, welche Schutzmaßnahmen bei dir (nicht) vorhanden waren:

# "Infektion" via Mailprogramm: Welche SW, welche (aktuelle) Version mit (welchen) Lücken? Führt Mail-SW automat. aktiven Mail-Content bzw. Anhänge (Bilder, etc.) aus.

# Windows: * Normale Arbeit mit mit Admin-Rechten?

                 * Aktueller Patchlevel?

                 * Unnötige Dienste / SW deaktiviert?

# Infektion vor Ort: Volle Systemverschlüsselung (Pre-Boot / BIOS) und/oder TPM vorhanden?

Wobei die Novellierung des Sicherheitspolizeigesetz ja noch gar nicht durch ist, d.h. ein etwaiger Behördenzugriff aktuell ohnehin illegal wäre oder von anderen (Kriminellen, Nachrichtendienste) kam.

Wie interessant du jedoch für ein gezielten, aufwendigen Angriff (von wem auch immer) wirklich bist, musst du dir aber ohnehin selbst überlegen.

Mit etwas restriktiver SW-Wahl (weniger anfällige Betriebssysteme und Anwendungs-SW) geeigneter Konfiguration und laufender Wartung inkl. etwas Brain 2.0 kann man Schwachstellen / Ansätze der Angreifer stark reduzieren.

]]> By: iipeii http://www.rozo.at/it-security/bundestrojaner-vorher-denken-dann-besser-doch-nicht-handeln/2008/04/10/comment-page-1/#comment-30721 iipeii Thu, 01 May 2008 21:26:31 +0000 http://www.rozo.at/misc/bundestrojaner-vorher-denken-dann-besser-doch-nicht-handeln/2008/04/10/#comment-30721 Zuerst spionieren sie mit kompromittierender Abstrahlung das System aus. Bei mir haben sie beim benachbarten Pfarramt dazu sogar das Gitter vor dem Fenster entfernt, das Fenster stand ganz offen, die Entfernung nur gut 40 m. Möglicherweise waren sie auch in der Wohnung, denn zu der Zeit hat sich ein Schlauch meiner Wasserkühlung am PC gelöst. Die setzten da auch ettliche Leute ein, die dann überrascht sind, wenn man von der anderen Seite kommt... hihi. Etwa ein Monat später wird mit den e-mails die eigentliche Software eingeschleußt, und zwar in den Kernel und in das Bios. Beides setzt sicher einiges an Vorbereitung voraus. Das System stürzt ab und fährt sofort wieder hoch. So meldete bei mir nur der Spybot Tea Timer, daß versucht werde, den Kernel zu verändern. Norton blieb stumm. Ich muß dazu sagen, dass ich den Spybot Tea Timer in ihrer Phase des Ausspionierens nicht installiert hatte.   Der PC war seither auffallend unterschiedlich schnell beim Hochfahren und gebremst bei hohen Downloadgeschwindigkeiten . Als ich nun eher zufällig ins Bios schaute, da traute ich meinen Augen nicht. Denn als First Boot Device stand etwas, das ich dort noch nie zur Auswahl gesehen hatte und was auch mein jetziges Bios Update von Asus nicht anbietet: "Network B02 D00 Yukon Boot Agent" vor dem nachgereihten Laufwerk. Was das bedeutet bekommt man im Netz schnell heraus. Der Rechner wurde zwei Wochen lang über das Internet kontrolliert hochgefahren. Wenn das Modem ausgesteckt war, dann durch das nachgereihte Laufwerk. Die Änderung im Bios ist der wohl eindeutigste Beleg für diesen heftigen Angriff auf meinen Rechner und auch das wirksamste Instrument für die Polizei. Kaum vorstellbar ein Bios so zu flashen, die brauchen glatt den source-code oder die Unterstützung von Asus, das kostet sicher einiges. Es bleiben auch die Bioseinstellungen erhalten. Sie implementieren irgendwie diese Network Boot Technologie. Da habe ich doch glatt was gratis erhalten ;) Wenn einer das Asus P5BE-Plus Board hat, ich sende ihm das Sicherungsfile dieser gehackten Bios Version gerne zu. Warum ich das weiß? Nun es gab zu viele Indizien am Rechner und in meiner Umgebung die sich mit dem deckten, was ich aus den Medien oder dem Abschlußbericht der Evaluisierungskommision erfahren hatte. Ich habe zeimal an holländischen Honeypots gekostet aber nichts angestellt sprich abgespeichert oder gar hochgeladen. Fünf Polizisten waren vor zwei Jahren zu einer Hausdurchsuchung in meiner Wohnung und haben dabei das C-Laufwerk im Rechner übersehen. Außerdem bin ich Beamter, was ihnen die moralische Rechtfertigung für diesen harten Angriff geben dürfte. Sie sind auch sicher noch am Trainieren, denn sie machen Fehler. Stellen sie sich vor, die benennen im Bios die Auswahlmöglichkeiten so um, dass man den Unterschied nicht mehr erkennt. Da würde wirklich nur noch regelmäßiges Flashen helfen. Zusammenfassend sollte man sagen, dass man seine Sicherheitseinstellungen so oft wie möglich ändern sollte. Vorerst unbedingt im Bios zeitweise die Bootreihenfolge ansehen, und ob es da plötzlich eine neue Position zur Auswahl gibt. Den Kernel schützen. Die e-mail Adresse regelmäßig ändern. Den eigenen PC mit Kamera überwachen ;) Zuerst spionieren sie mit kompromittierender Abstrahlung das System aus. Bei mir haben sie beim benachbarten Pfarramt dazu sogar das Gitter vor dem Fenster entfernt, das Fenster stand ganz offen, die Entfernung nur gut 40 m. Möglicherweise waren sie auch in der Wohnung, denn zu der Zeit hat sich ein Schlauch meiner Wasserkühlung am PC gelöst. Die setzten da auch ettliche Leute ein, die dann überrascht sind, wenn man von der anderen Seite kommt… hihi. Etwa ein Monat später wird mit den e-mails die eigentliche Software eingeschleußt, und zwar in den Kernel und in das Bios. Beides setzt sicher einiges an Vorbereitung voraus. Das System stürzt ab und fährt sofort wieder hoch. So meldete bei mir nur der Spybot Tea Timer, daß versucht werde, den Kernel zu verändern. Norton blieb stumm. Ich muß dazu sagen, dass ich den Spybot Tea Timer in ihrer Phase des Ausspionierens nicht installiert hatte.   Der PC war seither auffallend unterschiedlich schnell beim Hochfahren und gebremst bei hohen Downloadgeschwindigkeiten . Als ich nun eher zufällig ins Bios schaute, da traute ich meinen Augen nicht. Denn als First Boot Device stand etwas, das ich dort noch nie zur Auswahl gesehen hatte und was auch mein jetziges Bios Update von Asus nicht anbietet: "Network B02 D00 Yukon Boot Agent" vor dem nachgereihten Laufwerk. Was das bedeutet bekommt man im Netz schnell heraus. Der Rechner wurde zwei Wochen lang über das Internet kontrolliert hochgefahren. Wenn das Modem ausgesteckt war, dann durch das nachgereihte Laufwerk. Die Änderung im Bios ist der wohl eindeutigste Beleg für diesen heftigen Angriff auf meinen Rechner und auch das wirksamste Instrument für die Polizei. Kaum vorstellbar ein Bios so zu flashen, die brauchen glatt den source-code oder die Unterstützung von Asus, das kostet sicher einiges. Es bleiben auch die Bioseinstellungen erhalten. Sie implementieren irgendwie diese Network Boot Technologie. Da habe ich doch glatt was gratis erhalten ;) Wenn einer das Asus P5BE-Plus Board hat, ich sende ihm das Sicherungsfile dieser gehackten Bios Version gerne zu. Warum ich das weiß? Nun es gab zu viele Indizien am Rechner und in meiner Umgebung die sich mit dem deckten, was ich aus den Medien oder dem Abschlußbericht der Evaluisierungskommision erfahren hatte. Ich habe zeimal an holländischen Honeypots gekostet aber nichts angestellt sprich abgespeichert oder gar hochgeladen. Fünf Polizisten waren vor zwei Jahren zu einer Hausdurchsuchung in meiner Wohnung und haben dabei das C-Laufwerk im Rechner übersehen. Außerdem bin ich Beamter, was ihnen die moralische Rechtfertigung für diesen harten Angriff geben dürfte. Sie sind auch sicher noch am Trainieren, denn sie machen Fehler. Stellen sie sich vor, die benennen im Bios die Auswahlmöglichkeiten so um, dass man den Unterschied nicht mehr erkennt. Da würde wirklich nur noch regelmäßiges Flashen helfen. Zusammenfassend sollte man sagen, dass man seine Sicherheitseinstellungen so oft wie möglich ändern sollte. Vorerst unbedingt im Bios zeitweise die Bootreihenfolge ansehen, und ob es da plötzlich eine neue Position zur Auswahl gibt. Den Kernel schützen. Die e-mail Adresse regelmäßig ändern. Den eigenen PC mit Kamera überwachen ;)

]]>