Am 9. März 2010 Keine Anmerkung 9 March 2010 No Comment

es ist RATTE als im entfernten Zugang trojanisch für das uneingeweihte.that’s RAT as in remote access trojan, for the uninitiated.

inzwischen bin ich überzeugt, dass die meisten Sicherheitsleute darüber gehört haben, aber wenn Sie nicht noch haben, ist hier der US-CERT beratend, der blog Zugang von symantec durch liam murchu, ein sophos blog Posten durch graham cluley, ein Blog-Posten am Kyberverbrechen & Absitzen durch gary warner, ein Sonnengürtel blog Posten durch tom kelchner, eine Nulltagessicherheit blog Posten durch ryan naraine, und es ist gerade der Tipp des Eisbergs.by now i’m sure most security folks have heard about this but if you haven’t yet, here’s the US-CERT advisory, symantec’s blog entry by liam murchu, a sophos blog post by graham cluley, a blog post at cybercrime & doing time by gary warner, a sunbelt blog post by tom kelchner, a zero day security blog post by ryan naraine, and that’s just the tip of the iceberg.

jetzt überberichtete der Grund, den ich über diese Geschichte schreibe, dass so viele andere Menschen darüber geschrieben haben, wenn ich mich normalerweise enthalte, dass Nachrichtenereignisse sind, weil ich einen persönlichen Anteil darin habe - habe ich wirklich das verstoßende Gerät. schlechter noch hatte ich die fragliche auf einem meiner Computer installierte Software, da spät vom letzten Jahr marschieren. au! dank eines Ziepens durch mikko hypponen erfuhr ich von diesem frühen Samstagsmorgen (bedankt sich bei mikko, es ist gerade der Weg, wie ich mein Wochenende beginnen wollte) und fortfuhr, einen Sturm zu verfluchen, weil das das erste Mal mit meinen 20 Jahre der Computerwissenschaft davon ist, bin ich Erfolg mit malware legitim gewesen worden - meine vollkommene Aufzeichnung ist zu Ende.now the reason i’m writing about this story that so many other people have written about when i normally eschew over-reported news events is because i have a personal stake in this - i actually have the offending device. worse still, i had the software in question installed on one of my computers since late march of last year. ouch! thanks to a tweet by mikko hypponen i found out about this early saturday morning (thanks mikko, that’s just the way i wanted to start off my weekend) and proceeded to cuss up a storm because this is the first time in my 20 years of computing that i have legitimately been been hit with malware - my perfect record is over.

oh so, genug davon. es gibt 2 Dinge darüber, dass ich denke, verdienen nähere genaue Untersuchung. das erste ist, dass Frage dessen, ob sich der malware mit dem Hardware-Gerät selbst einschiffte, so viele haben festgesetzt, oder ob der symantec blog richtig ist und die Software nur als ein Download von der energizer Website verfügbar war. ich kann nicht abschließend so oder so sagen, aber ich kann einige Beweise anbieten, dass die Software nur jemals von der energizer Website verfügbar war. oh well, enough of that. there are 2 things about this that i think deserve closer scrutiny. the first is that question of whether the malware shipped with the hardware device itself as many have stated, or whether the symantec blog is right and the software was only available as a download from the energizer website. i can’t say conclusively one way or the other but i can offer some evidence that the software was only ever available from the energizer website.

1. das Gerät hat keine Speicherkapazität. kein Laufwerk erscheint im Fensterforscher, wenn Sie das Gerät einstecken.
2. the device has no memory capacity. no drive appears in windows explorer when you plug the device in.
3. wenn Sie es in einen Computer einstecken, bittet es, Fahrer zu installieren, aber kann finden, dass keine Fahrer installieren.
4. when you plug it into a computer it asks to install drivers but can find no drivers to install.
5. das Paket, das ich bekam, enthielt keine getrennten Medien, und als ich nach dem Gerät auf ebay suchte, schien keines der Pakete dort auch.
6. the package i got did not contain any separate media, and when i searched for the device on ebay, none of the packages there seemed to either.
7. die Instruktionsplatte (Ja, ich habe noch das auch) informiert Sie, dass Sie den stürmenden Status auf Ihrem Computer mit der kostenlosen Software von der energizer Website sehen können
8. the instruction sheet (yes, i still have that too) informs you that you can see the charging status on your computer with free software from the energizer website
9. die Software ist völlig fakultativ. das Gerät arbeitet ohne es (obwohl die Software wirklich verbesserte Brauchbarkeit über den Hinweis LED anbietet). das Gerät schifft sich sogar mit einem AC-> USB Konverter ein (der ist, was wirklich meine Aufmerksamkeit an erster Stelle lenkte), so dass Sie das Gerät in die Wand einstecken und den Computer (und so jede Mithörsoftware) völlig umgehen können.
10. the software is entirely optional. the device works without it (though the software does offer improved usability over the indicator LED). the device even ships with an AC->USB converter (which is what actually drew my attention in the first place) so that you can plug the device into the wall and bypass the computer (and thus any monitoring software) entirely.
11. nicht nur beauftragt die Instruktionsplatte Sie, die Software von der energizer Website zu bekommen, aber wenn Sie das Gerät einstecken, schließt der Gerät-Bezeichner, der sowohl in der neuen Hardware-Ankündigungsluftblase als auch im Fahrer-Installationszauberer gezeigt ist, nicht nur den Produktnamen sondern auch die URL-ADRESSE ein, für die Software von energizer herunterzuladen.
12. not only does the instruction sheet instruct you to get the software from the energizer website, but when you plug the device in, the device identifier displayed in both the new hardware notification bubble and driver installation wizard includes not just the product name but also the URL for downloading the software from energizer.

vielleicht gab es das abwechselnde Verpacken, das die in Verlegenheit gebrachte Software einschloss, aber wenn sogar die Hardware Ihnen sagt, die Software vom Web dann herunterzuladen, dass es kaum notwendig für dort scheint, um jemals damit paketierte Software gewesen zu sein.perhaps there was alternate packaging that included the compromised software, but when even the hardware tells you to download the software from the web then it hardly seems necessary for there to ever have been software packaged with it.

das zweite Ding, das ich denke, verdient das Überprüfen ist die Frage dessen, was schief ging. wie ich sagte, wurde ich damit geschlagen, aber könnte es vernünftig vermieden worden sein? es ist eine Frage ich bin seit dem Samstag zu Ende mulling gewesen. gehen wir durch die verschiedenen Misserfolge und sehen, ob ich unvernünftig wrecklessly handelte: the second thing i think deserves examining is the question of what went wrong. as i said, i got hit with this, but could it reasonably have been avoided? that’s a question i’ve been mulling over since saturday. let’s go through the various failures and see if i acted unreasonably wrecklessly:

• Antivirus-Produkte entdeckten es zurück dann nicht. ich scanne alles, und die Software kam 'sauber' herauf. av scheiterte, mich hier zu retten.
• anti-virus products didn’t detect it back then. i scan everything and the software came up ‘clean’. av failed to save me here.
• Anwendung whitelisting fehlte mir auch. es fragte, ob ich der Software erlauben wollte zu laufen, aber das ist Software, die ich absichtlich installierte - warum würde ich ihm nicht erlauben zu laufen?
• application whitelisting also failed me. it asked if i wanted to allow the software to run but this is software i intentionally installed - why wouldn’t i allow it to run?
• natürlich gibt es Gründe, Software zurückzuweisen, die Sie gerade installierten - tat ich meinen erwarteten Fleiß und googled die Datei, und alles sagte mir, dass es mit dem Ladegerät vereinigt wurde und nichts sagte, dass es irgendetwas Ungünstiges darüber gab. als solcher die Gemeinschaftsintelligenz enttäuschte das werdende Ruf-System des Internets mich auch.
• of course there are reasons to disallow software you just installed - i did my due diligence and googled the file and everything told me that it was associated with the charger and nothing said there was anything untoward about it. as such the community intelligence, the nascent reputation system of the internet let me down also.
• die Softwarebrandmauer ist ein interessanter Fall - in der Theorie ich könnte die Verbindung gemacht haben und gefragt haben, warum Batterieladegerät-Software einen Hafen öffnen und auf Verbindungen horchen muss. andererseits erforschte ich wirklich die Datei und fand, dass nichts anzeigte, dass es nicht legitim ein Teil der Software und deshalb keines Grunds war nicht zu glauben, dass, was auch immer es versuchte zu tun, etwas war, was es tun sollte. vielleicht könnte ich misstrauischer gewesen sein, vielleicht war ich sogar - das in Verlegenheit gebrachte System war ein clunker von 10 Jahren alt, der antwortend nicht besonder ist, um in der besten von Zeiten einzugeben, die, wenn verbunden, mit der gelegentlichen popup Überlastung von der firewall/whitelist Combo, auf auf mindestens einen Beispiel meines Klickens der akzeptieren Knopf hinausgelaufen ist ohne zu sehen, was ich akzeptierte.
• the software firewall is an interesting case - in theory i could have made the connection and asked why battery charger software needs to open a port and listen for connections. on the other hand, i did research the file and found nothing to indicate it wasn’t legitimately part of the software and therefore no reason not to trust that whatever it was trying to do was something it was supposed to do. maybe i could have been more suspicious, maybe i even was - the compromised system was a 10 year old clunker that isn’t particular responsive to input at the best of times which, when combined with the occasional popup overload from the firewall/whitelist combo, has resulted in at least one instance of my clicking the accept button without seeing what i was accepting.
• könnte ich mich etwas Kopfweh gerettet haben (und ein wenig Gesicht gespart haben), sandboxing verwendend? in Anbetracht der Einzelheiten des Systems gibt es keinen Weg, wie ich eine volle virtuelle Maschine darauf verwenden würde, und außer dem Übermaß für diese Anwendung gewesen wäre. es hätte auch das ziemlich wünschenswerte Verhalten gestört, automatisch den Monitor UI zu starten (Anwendungsvirtualisierung wäre in dieser Rücksicht nicht viel besser gewesen). das ist einem fremden Ding für mich ähnlich zu sagen, aber der PC ist so alt, dass Stapellauf von irgendetwas darauf schmerzlich langsam ist, so war das automatisierte Verhalten zurzeit willkommen. ich nehme die Tatsache an, dass ich nie jede Absicht hatte, es bis zu meinem Haupt-PC anzuhaken (welcher wirklich Macht hat, die es viel öfter durchbohrt), bedeutet, dass an einem Niveau ich wirklich einen Sandkasten von Sorten - eine physische Sandkasten-Maschine verwendete, wenn Sie - aber wirklich werden, vertraute ich der Software und hatte keinen Grund zu denken, dass ich es in einem Sandkasten führen musste.
• could i have saved myself some headache (and saved a bit of face) by using sandboxing? given the particulars of the system there’s no way i would use a full virtual machine on it, and besides that would have been overkill for this application. it also would have interfered with the rather desirable behaviour of automatically launching the monitor UI (application virtualization wouldn’t have been much better in that regard). that sounds like a strange thing for me to say, but the PC is so old that launching anything on it is painfully slow so the automated behaviour was welcome at the time. i suppose the fact that i never had any intention of hooking it up to my main PC (which actually has power running through it far more often) means that at some level i actually was using a sandbox of sorts - a physical sandbox machine if you will - but really, i trusted the software and had no reason to think i needed to run it in a sandbox.

Vertrauen scheint, das wiederkehrende Thema hier zu sein. ich vertraute der Software. vielleicht sollte ich nicht ihm vertraut haben, aber Sie können nicht sehr weit in der Computerwissenschaft werden, ohne mindestens einer Software zu vertrauen, und es gab nicht einen zwingenden Grund, dieser Software nicht zu vertrauen. trust seems to be the recurring theme here. i trusted the software. maybe i shouldn’t have trusted it, but you can’t get very far in computing without trusting at least some software, and there wasn’t a compelling reason not to trust this software.

ein Ding, davon (oder mindestens etwas wegzunehmen, was ich davon wegnehme) besteht darin, dass mehrere meine Sicherheitshandlungsweisen nur helfen, mich gegen das unbekannte zu schützen. wenn ich etwas vertraue, wenn auch ich mich irre, gibt es nicht viel meine Verteidigung kann tun, um mir zu helfen. ich werde sicher an Weisen denken, diese Schwäche in der Zukunft zu überwinden.one thing to take away from this (or at least something that i’m taking away from it) is that a number of my security behaviours only help to protect me against the unknown. if i trust something, even though i’m wrong, there isn’t much my defenses can do to help me. i will certainly be thinking about ways to overcome that weakness in the future.

natürlich, da ich hinter einem NAT-ermöglichten Router war und Hafen 7777 zur in Verlegenheit gebrachten Maschine nicht nachschickte, arbeitete etwas von meiner Verteidigung wirklich - aber ich hatte Glück. wenn es einiger anderer gewesen war, könnte sich der aggressivere Typ von malware Dingen nicht so gut für mich herausgestellt haben. oder, andererseits, könnten irgendetwas mehr als das passive Horchen auf Befehle mich wirklich zur Anwesenheit von etwas Böswilligem abgeladen haben. of course, since i was behind a NAT-enabled router and wasn’t forwarding port 7777 to the compromised machine, some of my defenses did work - but i was lucky. if it had been some other, more aggressive type of malware things might not have turned out so well for me. or, on the other hand, anything more than the passive listening for commands might have actually tipped me off to the presence of something malicious.

wir können spielen, "und wenn", bis wir im Gesicht blau sind - ich sowohl die Tatsache identifiziert habe, dass meine Verteidigung Zimmer für die Verbesserung als auch die Natur hat, die Verbesserung nehmen muss. ich bin auch daran erinnert worden, dass, was sie wirklich sagen, wahr ist - geschieht es mit jedem schließlich. man brauchte mehr als 20 Jahre für mich, der länger bin als am meisten und ich ein wenig darüber großspurig gewesen bin, aber schließlich gibt es immer eine Schwäche, einen Weg in, und wenn es für meine Überwachung von sicherheitsrelevanten Ereignissen nicht gewesen war, würde ich wahrscheinlich noch in diesem Augenblick in Verlegenheit gebracht. schließlich war das Ding, das mir meist half, mein Interesse an der Sicherheit selbst. we can play “what if” until we’re blue in the face - i’ve identified both the fact that my defenses have room for improvement and the nature that improvement must take. i’ve also been reminded that what they say really is true - it happens to everyone eventually. it took more than 20 years for me which is longer than most and i’ve been a little cocky about that, but in the end there’s always some weakness, some way in, and if it hadn’t been for my monitoring of security-related events i’d probably still be compromised right now. in the end the thing that helped me the most was my interest in security itself.