Flashback Trojaner

Suendenbock schrieb:
Ja? Dann mach Dich mal schlau über OpenBSD mit den tausenden Programmpaketen. In der IT sollte man Software auswählen, die das geringste Übel darstellt und das weglassen, was nicht unbedingt sein muss.
Zum Vergrößern anklicken....

Ja, toll. Das OpenBSD auditing ist nur für das BaseSystem, ohne irgendwelche Daemons. IMHO kommt maximal der SSH mit an bord bei einer DefaultInstallation (OpenSSH kommt ja auch eh von denen). Sobald du ein Package/Port installierst, gilt die Behauptung schon nicht mehr. Fragt sich halt, wie sinnvoll ein laufener Kernel ist ohne alles.
Aber wenn nur der Kernel rennt, und ein Daemon, sollte man das schon hinbekommen keinen remote exploit zu haben.

Da frage ich mich ja, inwieweit es mit der Wirksamkeit der Lücken bestellt ist, da Safari ja die Sandbox-Technologie nutzt.
Zum Vergrößern anklicken....

Auch hier hast du glaub ich nicht verstanden, was die Aussage überhaupt bedeutet. Gegenfrage. Wieso hat nicht jede Software eine Sandbox? Richtig, weil sie eigentlich unnötig sein sollte. Das ist eigentlich ein Statement dafür, dass sie ihren Code nicht sauber kriegen vor Exploits. Bisher sind in den letzten 2 Jahren nur Adobe, MS Office, und alle Browserhersteller auf den Sandbox Zug eingestiegen. Und die sind alle nicht bekannt dafür, dass ihre Produkte keine Lücken haben.

Aber wie gesagt. Was will man machen, wenn die Sachen so komplex sind. N Zeichen für Sicherheit ist eine Sandbox in meinen Augen aber sicherlich nicht.
 
Heute hatte dann auch die "Neue Westfälische" auf ihrer Computerseite die neueste Meldung, dass jetzt Macs vom Flashback Trojaner befallen werden... na ja, in Ost-Westfalen dauert eben alles etwas länger... :noplan:
 
JohnnyChicago schrieb:
Dein Link enthält Malware!
Zum Vergrößern anklicken....
Vielen Dank für den Hinweis. Habe ebenfalls mal mit VirusTotal.com gescannt und auch dort meldete lediglich Bitdefender Malware. Ich habe dem Website-Betreiber eine Mail geschrieben und ihn darauf hingewiesen. Mal schauen, ob ich eine Antwort bekomme.

Update: Der Webseiten-Betreiber hat selbst noch mal seine Seiten gecheckt und konnte nix finden. Er vermutet, dass die (harmlosen) Beispiele für Drive-By-Infektionen von Bitdefender als Malware identifiziert werden und kontaktiert deswegen die Jungs von Bitdefender.

Update2: Stellungnahme des Webseitenbetreibers
 
Zuletzt bearbeitet:
Es ist mit Sicherheit kein Zufall, dass ausgerechnet diese Seite kompromittiert wurde.

Dennoch danke für den Link, ich fand die Zusammenfassung sehr kompakt und gut geschrieben (der Autor wirkt auf mich in seinem Lebenslauf/Ausbildung auch sehr qualifiert in Sicherheitsfragen), so dass nach dieser Lektüre eigentlich auch hier mit allen Mythen aufgeräumt worden sein sollte.

(Besonders gut fand ich den Mythos AV-Hersteller..:D)
 
xentric schrieb:
Ja, toll. Das OpenBSD auditing ist nur für das BaseSystem, ohne irgendwelche Daemons. IMHO kommt maximal der SSH mit an bord bei einer DefaultInstallation (OpenSSH kommt ja auch eh von denen). Sobald du ein Package/Port installierst, gilt die Behauptung schon nicht mehr. Fragt sich halt, wie sinnvoll ein laufener Kernel ist ohne alles.Aber wenn nur der Kernel rennt, und ein Daemon, sollte man das schon hinbekommen keinen remote exploit zu haben.
Zum Vergrößern anklicken....
Natürlich sollte man auch, was insgesamt Sicherheitslücken betrifft, alle Programmbestandteile von OpenBSD mit berücksichtigen. Also auch Local Attacks. Der Core von OpenBSD besteht ja aus dem Kernel und dem BaseSystem. Das BaseSystem wiederum besteht aus dem Userland, wo die vielen Programme jeweils auch einem Audit unterzogen werden. Da gab es meines Wissens nach bisher nur einen einzigen Exploit! Und der Slogan von OpenBSD lautet ja "Only two remote holes in the default install, in more than 10 years!" Da haben sie ja auch, was die Standardinstallation betrifft, Recht behalten. Es gab einmal bei SSH und im IPv6-Stack einen Exploit. Demnach läuft laut deiner Aussage, wie Du lesen kannst, nicht nur maximal SSH als Dienst bei OpenBSD mit, sondern man kann auch inet6 standardmäßig starten, ebenso übrigens auch ntpd. Zudem kann auch ein X Window System gestartet werden. Was die Ports und Packages betrifft, fehlen dem OpenBSD-Team leider die Kapazitäten, um dort auch Überprüfungen durchzuführen.

xentric schrieb:
N Zeichen für Sicherheit ist eine Sandbox in meinen Augen aber sicherlich nicht.
Zum Vergrößern anklicken....
Ein absolute Sicherheit bietet natürlich auch eine Sandbox nicht. Selbst da sind Ausbrüche möglich, wie uns die Vergangheit bisher gelehrt hat.
 
Zuletzt bearbeitet:
David X schrieb:
...
Update2: Stellungnahme des Webseitenbetreibers
Zum Vergrößern anklicken....

Hi, dann kann man den Link ja nochmal unverstümmelt posten:
http://ceilers-news.de/serendipity/220-Fuer-den-Mac-gibt-es-keine-Viren-Weg-mit-den-Mythen!.html

Eine Frage:
Erst mal hat Apple nicht schnell reagiert, und dann auch noch teilweise falsch: Einer der vom Netz genommenen Command&Control-Server war von Doktor Web zum Sinkholing des Botnets registriert worden.
Zum Vergrößern anklicken....
Was bedeutet das im Genauen?
 
maba_de schrieb:
Sinkholing bedeutet, das man ein Bot Netz untergräbt um die Kontrolle zu übernehmen und so das Bot Netz zu zerstören und an die Hintermänner zu gelangen.
Zum Vergrößern anklicken....

Und inwiefern hat Apple teilweise falsch reagiert, wenn ein C&C-Server "gesinkholed" wurde?
Wäre das nicht grade das richtige Vorgehen?
 
Das hat aber dann ja nichts mit ceilers-news zu tun.

Mir ging es eher noch um die Aussage
Erst mal hat Apple nicht schnell reagiert, und dann auch noch teilweise falsch: Einer der vom Netz genommenen Command&Control-Server war von Doktor Web zum Sinkholing des Botnets registriert worden.
Zum Vergrößern anklicken....
, die ich noch nicht richtig verstanden habe.
 
xentric schrieb:
Aber wie gesagt. Was will man machen, wenn die Sachen so komplex sind. N Zeichen für Sicherheit ist eine Sandbox in meinen Augen aber sicherlich nicht.
Zum Vergrößern anklicken....
Es zeigt aber ein gewisses Sicherheitsbewusstsein. Man ist sich halt bewusst, dass sich Sicherheitslücken nicht vermeiden lassen. Also versucht man Anwendungen halt einzuschränken, so dass sie nur auf die notwendigen Ressourcen Zugriff haben und nicht beispielsweise auf das gesamte Benutzerverzeichnis oder das ganze System. Ähnliches hast du ja auch in der Unix/Linux Welt mit SELinux, AppArmor, FreeBSD jail und so weiter.

Um mal die beliebten Autovergleiche aufzugreifen: Du hast Systeme wie ABS, ESP und andere automatische Assistenzprogramme, um einen Unfall zu verhindern. Aber für den Fall, dass es zu einem Unfall kommt, gibt es noch zusätzliche Sicherheitskomponenten wie Gurte, Knautschzonen, Airbags und so weiter. Von daher finde ich es begrüßenswert, wenn im Software-Bereich endlich das Augenmerk darauf gerichtet wird, die Folgen eines Unfalls zu vermindern.
 
LosDosos schrieb:
Und inwiefern hat Apple teilweise falsch reagiert, wenn ein C&C-Server "gesinkholed" wurde?
Wäre das nicht grade das richtige Vorgehen?
Zum Vergrößern anklicken....

Das Sinkholing ist die schnellste Art, ein Bot Netz zu beenden.
Man muss nicht den Trojaner auf allen Clients eliminieren sondern übernimmt die Steuereinheit und macht
das Bot Netz dadurch unwirksam.
 
LosDosos schrieb:
Und inwiefern hat Apple teilweise falsch reagiert, wenn ein C&C-Server "gesinkholed" wurde?
Wäre das nicht grade das richtige Vorgehen?
Zum Vergrößern anklicken....

So wie ich das verstanden habe, hat Apple die Sperrung/Außerbetriebnahme eines Servers beantragt, der nicht von den Botnetzbetreibern, sondern von Dr. Web (zum Zwecke des Sinkholing) betrieben wurde.
 
smn schrieb:
So wie ich das verstanden habe, hat Apple die Sperrung/Außerbetriebnahme eines Servers beantragt, der nicht von den Botnetzbetreibern, sondern von Dr. Web (zum Zwecke des Sinkholing) betrieben wurde.
Zum Vergrößern anklicken....

Aaaaah ok, jetzt hab ichs verstanden..:hamma:
(hatte mich erst gefragt, was es daran auszusetzen gibt, wenn ein C&C-Server von Apple lahmgelegt wurde)

Das ist dann ja schon irgendwie ein deutlicher :fail: und ein :faint: seitens Apple gewesen..:kopfkratz:

Oder könnte das sogar Absicht gewesen sein, zb um weitere Meldungen seitens Dr Web wie die Anzahl befallener Systeme zu vermeiden?
 
Vielleicht auch einfach nur zu "kurz" recherchiert. Ursprünglich war der vielleicht von den Botnetzbetreibern kontrolliert und wurde dann von Dr. Web übernommen o. Ä. …
Im blinden Eifer wurde dann einfach die Abschaltung beantragt.
 
Gehört zwar ins Reich der Spekulationen und Verschwörungstheorien, aber wenn das meinem Unternehmen passiert wäre, würde zumindest ich alles dransetzen, um die Server der Firma abzuschalten, die dafür verantwortlich ist, dass ich einen Imageschaden erleide und die genaue Zahl befallener Systeme an die Öffentlichkeit gelangt..:D
 
Andererseits bestanden gegebenenfalls auch gewisse Zweifel an der Seriosität von Dr. Web (Windows neu starten, Registry etc. als Schritte zur Entfernung des Trojaners - am Mac?). Ich persönlich (Achtung, subjektiv!) hab vor dieser Sache auch noch nie von dem Laden gehört. Vielleicht spielte das auch mit rein, wer weiß das schon. Diese Episode würde ich aber generell eher als Nebenschauplatz werten …
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten