Öhh.... da war doch noch was... achja...
sagt mal, das lustigste an einem Trojaner hat noch keiner erwähnt, eh?
Ne, das ist weder die anvisierte Distributionsform (also BitteBitteklickmich.pdf.exe per Mail oder so) noch die,ähh.. "leichte" Problematik der verschiedenen OS-Platformen.
Nö. Das ist die Frage "Wohin mit den Daten ?" Also, dem ganzen pr0n, EMails an das Böse an und für sich, den diversen Bastelanleitungen die ja jeder (laut einem gewissen körperlich benachteiligten Herrn) angeblich auf der Platte hat.... die wollen ja schließlich an $PASSENDE_STELLE gesendet werden (und wenns nur ne Dateiliste ist....) ... und da fängts an. Eine derartige Übertragung könnte vielleicht (!) noch kryptografisch soweit gesichert werden das man den Inhalt (also, das was wirklich im einzelnen gesendet wird) nicht entschlüsseln kann... aber jeder Aushilfs-Netzwerkadmin sollte bereits das Ziel einer Übertragung erkennen können, d.h. die IP an die die Daten übertragen werden. Und genau da wirds spannend...
Das könnte (...) dann direkt ein Server einer Behörde sein. Das wäre nun wirklich geschickt, weil a) so in etwa 2 Stunden später auch der letzte User die IP dieses Servers (oder notfalls den ganzen IP-Block) in einer Sperrliste haben kann und b) dieser Rechner damit, sagen wir mal, ein klein wenig mehr Aufmerksamkeit erfahren dürfte als einem Admin unbedingt lieb sein dürfte. Dazu brauchts nicht mal unbedingt die vielzitierte Hackergruppe aus pickligen Vorstadtteenagern (und bitte... das sind Cracker, nicht Hacker. Aber das nur nebenbei.). Nein, so ziemlich jeder Spammer/ Adresshändler/ Marktforscher dürfte bereits bei dem Gedanken an diese Menge persönlicher Daten schweissfeuchte Hände bekommen. Von dem evtl. Interesse der in der Informationsbeschaffung tätigen Behörden anderer Länder mal ganz zu schweigen... um auch denen mal ein bisschen Aufmerksamkeit angedeihen zu lassen. Also, die Idee die Daten direkt auf so ne Kiste zu schicken wäre damit wohl schon mal die B-Auswahl
Was dann... ah ja. Ein Mietserver im Ausland. Für den gilt im Grunde dasselbe, nur ist hier nochmal ein extra Stelle potentiell undicht, nämlich der Provider des Servers. Der schöpft ja bestimmt keinen Verdacht wenn da ein öffenliches Schreiben von der $REGIERUNG kommt, das sie gerne einen Server im Super-duper Sparpaket hätten, aber mit extraviel Traffic inclusive, und "doppelt Plattenplatz bitte"
Also dann über Mittelsmänner anmieten. Klar. Macht ja jeder Schlapphutträger so. Dann müssen die potentiellen Sicherheitslöcher nicht nur so langsam Schlage stehen, nö, wir haben immer noch nen Server im Ausland stehen, mit der typischen Microminimalsicherheit eines Mietservers und hochsensiblen Daten. Und alle die bei dem Wort "IP-Adresse" mehr als Bahnhof verstehen
wissen wo die Date hingehen. Womit wir wieder ganz elegant am Anfang wären.
Was denn dann... Hmmm... Dynamische IP-Adresse. Auja. Das ist dann ganz toll, weil wegen das ist ja immer ne andere. Könnte man ja auch bei nem Server machen. Klar. Und das Update an den Client (also den Trojaner) geht dann vorher raus, damit der weiss an wen er sich in der nächsten Zeit wenden soll.
Nun... einmal macht das erst ab einer gewissen Menge IP-Adressen die man zur Verfügung hat Sinn. Ich meine, immer zwischen Adresse A und Adresse B wechseln... och nö. Und dan... also, wie lange soll das Zeitfenster für eine IP sein? 10Sekunden? 10 Minuten? 10 Stunden? Tjaa... wenns alle 10 Sekunden wechselt bekommt kaum ein Trojaner seinen Traffic raus (wir reden ja schließlich von dem guten Massentrojaner, nicht wahr? Handgeschnitzte Einzelstücke haben überigens dasselbe Problem
) Wenns zu lange dauert kann man sich das Wechseln auch ganz ersparen. Hmm.. tricky. Weil wegen wenns nicht zu lange und nicht zu kurz ist für den Trojaner und so... dann ists eigentlich immer noch ganz o.k. um so nach und nach innerhalb einer realistischen Zeitspanne eine hübsche liste zu generieren welche IP's denn da eigentlich alle im Spiel sind. Was ja auch nur sehr bedingt im Sinne des Erfinders sein dürfte.
Achja.... denn hoffen wir aber alle im übrigen das eine solche Maschine (so sie denn einer "eigene" und kein Mietserver auf den Antillen ist) zumindest eine Vanilla Install ist... und nicht die Kiste die als Dateiserver in $BEHÖRDE ausgemuster wurde...
So, um einen Abschluss zu finden... exakt dieses Problem hat dann aber auch ein maßgeschneiderter Einzeltrojaner. Weil auch und gerade bei dem verlässt man sich ja drauf das $TÄTER in etwa so intelligent ist wie ein Türnagel, und auf keine Fall was davon mitbekommt.
Was machen die eigentlich mit den Leuten die ne OS-Distribution auf CD/DVD mit sich rumtragen (!) und alle benötigten Daten auf nem USB-Stick ? Zusätzlich zu der "garantiert echt gebrauchten" Fake-Installtione auf dem Rechner ?
--
Kleines Sicherheits-ABC
* nicht benötigte Dienste deaktivieren
* nicht mit Admin-Rechten arbeiten
* Updates. Aber nicht als erster
* Es sind keine Nacktfotos von $LECHZ in deiner EMail
* Firewalls und Virenscanner sind weder Allheilmittel noch ohne sorgfältige und fachgerechte Konfiguration mehr als Platzhalter auf der Festplatte
* Software aus dubiose Quellen ist genau das- dubios.
* Ein anderes OS ist kein Schutz.
* Das gilt nur in eingeschränktem Umfang für GCOS
(Achtung, Insiderwitz...)