Geschichte wird gemacht Was brachte die Woche #1? (mit SkyOut, VXler)

Der wöchentliche Rückblick auf gulli.com, mit wechselnden Gesprächspartnern, heute SkyOut, VXler und Hacker von www.smash-the-stack.net. Auf dem 24C3 sprach SkyOut über den Virus Underground, ein guter Grund, ebenfalls mit SkyOut über den Virus Underground und die Woche, die war, zu sprechen.

Dass es mit den "Guten" und den "Bösen" in der Virii-Welt nicht immer so hinhaut, konnte man bereits seinem Congress-Vortrag (Beschreibung, Torrent, DDL) entnehmen, und auch SkyOuts Hinweis auf gulli.com, dass die "Kindersuchmaschine" FragFinn vor allem FragWürdig ist, passt nicht ins Bild böser Virenkiddies oder skrupelloser Botnetzbetreiber. In Zeiten von "Govware" und Bundestrojanern sollte das aber niemanden mehr verwirren.

Korrupt: SkyOut, wie immer meine erste Frage: Welche Neuigkeit hat dir in der vergangenen Woche am meisten gefallen?

SkyOut: Es waren wohl verschiedenste Neuigkeiten, welche in diese Woche fallen, die mir wirklich gefallen haben. Zum einen hat es mich sehr gefreut zu sehen, dass der zweite Teil von "Steal this film" erschienen ist. Ich war ein Fan des ersten Teils und fand ihn wirklich interessant und lade nun in gespannter Erwartung den zweiten Teil. Weiterhin hat mich als sicherheitsinteressierter Mensch vor allem eines interessiert: Die Informationen, welche über XSS-Schwachstellen in Flash-Applets veröffentlicht wurden. Es war mal wieder erschreckend zu sehen, wie einfach und doch fatal solche Fehler sein können. Gerade ich für meinen Teil habe schon mit dem Phishmarkt #1 und #2 (siehe Heise) gezeigt, dass XSS und Content Spoofing eine durchaus ernstzunehmende Gefahr darstellen und sehe im Bereich der Schwachstelle XSS enorm viel Potenzial für vor allem Boardmalware, also für Würmer, welcher sich etwa über Portale wie Orkut verbreiten (wie letztens geschehen). Persönlich hat mich vor allem gefreut, dass ich nun die Grenze der 20k Klicks auf meiner Seite erreicht habe. Ein Schritt, der zeigt, dass die Leute an dem, was ich schreibe, sehr interessiert zu sein scheinen und meine kritischen Worte auch etwa der Regierungspolitik gegenüber Gehör finden.

Korrupt: Und was hat dich am meisten geärgert, und warum?

SkyOut: Der wohl mit schönste wie auch schlimmste Tag war der erste Januar 2008. Warum? Es gäbe doch eigentlich nur Sylvester zu feiern, oder? Schön wäre es, doch gerade jetzt gibt es etwas, das uns mehr Sorgen bereiten sollte, denn das neue Gesetz zur Vorratsdatenspeicherung ist schlussendlich in Kraft getreten. Schockiert hat mich vor allem eins: Wie Tageszeitungen in Berlin darüber berichteten! Gleich am ersten Abend in einem Lokal wurde uns eine TAZ in die Hand gedrückt für einen Euro. Da sagt man doch nicht nein und liest mal, was so geschehen ist. Tja und was sehe ich da auf der ersten Seite: Ein Bericht zur Vorratsdatenspeicherung, der das Ganze als völlig akurat und akzeptabel herunterspielt und die Warnungen der Datenschützer als übertriebene Panikmache bezeichnet. Da frage ich mich doch echt, ob unsere ganzen Warnungen und Begründungen nur auf taube Ohren gestoßen sind. Eins mag sein: So, wie sie im Moment durchgeführt wird, ist die Speicherung noch nicht DAS Problem vielleicht, aber hier zeigt sich doch ganz eindeutig, dass die Basis für mehr gelegt wird und sollte man etwas nicht stoppen, bevor man die Kontrolle verliert?

Korrupt: Die Woche brachte neben der bereits von dir angesprochenen Verbindungsdatenspeicherung auch noch die UK-Variante des Hackerparagrafen, der CCC-Congress ging zu Ende und im nachhinein freut der Optimismus, aber nichtsdestotrotz ist allen an sich klar, dass die Luft dünner wird. Was wär dein "Wochenfazit" aus der Sicht eines Hackers, der sich in einem selbst unter technik- und netzaffinen Leuten recht schräg betrachteten Feld bewegt? Ich meine, ohne Pr0n bricht ja bekanntlich die Zivilisation zusammen, aber nur wenige Leute würden Virenautoren eine Träne nachweinen, wenn ein heißeres rechtliches Klima zu ihrem bedauernswerten Frühableben führen würde...

SkyOut: Als Wochenzitat fällt mir hier ein Slogan des 24c3 auf, welcher von vielen als inoffizielles Motto akzeptiert wurde: Willkommen im Jahr 1984. Das trifft es wohl am besten. Und sind wir noch ganz im Jahre 1984, so sind wir zumindest in den Achtzigern und bewegen uns stetig darauf hinzu.

Das nur wenige Leute den VXern eine Träne nachweinen würden, finde ich erschreckend. Ich stimme dir zwar in dieser Aussage zu, denn ich denke es wäre wirklich der Fall, doch finde ich es gerade deshalb umso erschütternder. VXer haben im Allgemeinen nichts Böses im Sinne und für sie ist das Programmieren von Viren einfach nur eine kreative und spannende Herausforderung. Es geht darum sich mit anderen zu messen und Grenzen zu durchdringen. Man setzt sich mit der Sprache und dem System auseinander und versucht, neue Wege zu erschließen. Eine aus Neugierde entstehende Dynamik entwickelt sich in der Szene, der Hackerszene sollte diese bekannt sein. Und hier stellt sich mir doch die Frage: Sollte man die legale und durchaus positiv gedachte Auseinandersetzung nicht eher fördern und unterstützen als zu bekämpfen? Denn eins ist klar: Die Kriminellen werden sich von so einem Gesetz nicht aufhalten lassen. Diejenigen jedoch, die immer nur in guter Absicht handelten, werden kriminalisiert.

Korrupt: Du schriebst auf Smash the Stack, dass es ein Trauerspiel sei, wie die Bundesregierung kinderfreundliche Suchmaschinen bauen lassen wolle, aber nicht mal ihre eigenen Seiten gegen XSS-Attacken absichern kann. Ich find in dem Kontext ja die Online-Durchsuchung/Bundestrojanergeschichten ja immer noch ne Stufe schlimmer. Burkhard Schröder hält die Geschichte ja vehement für ne Ente, kannst du dir angesichts solcher Patzereien vorstellen, dass das Ding ernsthaft gecoded und eingesetzt werden kann/soll?

SkyOut: Ganz ehrlich: FragFinn.de ist ein einziger Witz! Zu dieser Aussage stehe ich auch vollkommen. Es gibt genug Gründe die das Belegen. Lassen wir uns doch das Ganze nur mal aus technischer Sicht betrachten, so stellt es sich doch schon vornherein als völlig schlecht programmiert dar. Die Toolbar selber ist eher ein schlechter Trojaner als eine wirkliche Schutzsoftware. Die Seiten sind unsicher und schlampig programmiert und als wäre das nicht ausreichend genug, ist der Inhalt der Suchmaschine auch noch miserabel. Es gibt mittlerweile einige Blogeinträge, welche die Suchmaschine mal untersucht haben, auf etwa Informationsmaterial zu leichtesten Themen, sei es HTML oder sonstwas und was da geliefert wird, ist einfach nur völlig am Thema vorbei. Also ein Kind findet hier wahrscheinlich vieles, aber nichts, was wirklich zum Weiterbilden geeignet ist. Die Suchmaschine sucht scheinbar völlig willkürlich Seiten heraus. Meine Meinung mag überspitzt sein, aber von einem derart geförderten Projekt hätte ich schon etwas mehr erwartet.

Korrupt: Kurz zurück zum Trojanerthema: Phenoelit fragte ich auf dem 24C3 schon, ob an sie schon mal staatliche Stellen herangetreten seien, weil sie diesbezüglich Expertise bräuchten. Weisst du von versuchten oder stattgefundenen Kontaktaufnahmen von BKA und Konsorten in der Virii-Szene? Wenn nicht - warum gabs deiner Ansicht nach keine? Expertise scheint da ja auf staatlicher Seite wenig vorhanden zu sein.

SkyOut: Persönlich kenne ich keinen konkreten Fall, in dem staatliche Behörden an Virenschreiber herangetreten sind. Das hat wahrscheinlich einfachste Gründe: Die deutsche Szene ist recht überschaulbar und hält sich im Verborgenen, viele VXer sind dem Staate wahrscheinlich nicht einmal bekannt, allerhöchstens die Gruppen, welche mit ihren Veröffentlichungen ans Tageslicht treten. Ich für meinen Teil kann jedoch sagen, dass es schon Kontaktaufnahmen zwischen der AntiVirus-Industrie und den VXern gab, so wie mir nach meiner Rede in der C-Base in Berlin geschehen. Ich will hier keine Namen nennen, aber eine der AV-Firmen, welche man als Experte und VXer durchaus kennen sollte, hat Interesse an mir geäußert, jedoch mit einer interessanten Nebenbemerkung: Es ist schwer, einen Ex-VXer in einen Betrieb der AV zu bekommen, theoretisch unmöglich, praktisch aber schon geschehen. Ich denke, so verhält es sich auch mit BKA und Konsorten: praktisch mag es solche Fälle geben, doch im Allgemeinen ist es eine heikle Sache und wird - wenn überhaupt - sehr vorsichtig und verdeckt durchgeführt.

Korrupt: Wozu würdest du "GovWare"-Programmierern bei ihrer "Aufgabe" raten, viren/trojanertechnisch?

SkyOut: Interessante Frage, die du da in den Raum schmeißt. Ist der Begriff GovWare doch gerade erst aufgetaucht und wird nun popularisiert. Wozu ich diesen raten würde? Ideen und Möglichkeiten gibt es genug, wie man Viren und Trojaner möglichst geschickt im System verstecken kann. Ich denke die kennen sie auch selbst. Was ich viel spannender finde ist die Frage, wie solche GovWare gezielt eingesetzt werden soll. Stell Dir eine Zielperson vor, wie soll man diese und nur diese mit einem Trojaner infizieren? Es gab ja schon Gerüchte von Trojanern in Anhängen von Behördenemails. Das hat das E-Government in Deutschland erwartungsgerecht extrem nach hinten zurückgeworfen, was das Vertrauensverhältnis zwischen Bürgern und Regierung angeht. Also eins ist klar: Eine gezielte Unterschiebung eines Trojaners basiert auf gutem Social Engineering oder einer gewissen Unerfahrenheit des "Opfers" gegenüber dem Thema Internetsicherheit. Ich für meinen Teil kann nur so viel sagen: Meinen PC zu infizieren könnte schwer werden. Nicht nur, dass ich alternative Systeme nutze, auch bin ich allem erstmal skeptisch gegenüber. Beherzigen das auch die anderen Bürger, sehe ich für einen geplanten Bundestrojaner wenig Chancen.

Korrupt: Ich hab technisch wenig bis keine Peilung vom Virenschreiben, schrei, wenn die Frage dämlich ist ;) Ich frag mich seit etwas über einem Jahr, warum es keine .xpi-Viren gibt. OS-unabhängig Browser/Mailer infizieren, ich kann mir nicht helfen, mir kommts wie ne verdammt gute Idee vor. Mozilla-User, eine zu sicherheitsbedachte und damit uninteressante Zielgruppe? Oder gibts die und hab ichs nur nicht mitbekommen? (grade noch im Doomriderz-Mag was gefunden, aber das ist "nur" scriptbasiert für Thunderbird...)

SkyOut: Plattformunabhängige Malware gibt es schon lange. Ein super Beispiel ist der Akikaze Wurm von meinem Freund Tatsumori. Der Wurm ist in C# geschrieben und verbreitet über das Framework Mono, wodurch er ausführbar auf Windows, Linux und Mac OS X ist. Weiteres Beispiel wäre der BadBunny Wurm von Necronomikon, WarGame und mir, welcher sich als erster Wurm über OpenOffice auf alle drei großen Betriebssysteme verbreitet. Also die Idee plattformunabhängig zu programmieren ist nicht neu. Das dabei noch nicht alle Möglichkeiten ausgeschöpft sind ist klar, und du hast hier ein gutes Beispiel gebracht für eine neue Möglichkeit, Trojaner auf einen Rechner zu übertragen. Ob es solche Fälle gibt, weiß ich nicht sicher, zumindest wurde bisher kein solcher Trojaner von einer bekannten VX-Gruppe hervorgebracht, aber hey: Irgendwann ist immer das erste Mal und die Idee lasse ich mir durch den Kopf gehen. Also vielleicht gibt es schon bald den Quellcode des ersten .xpi Trojaners von mir.

Korrupt: Kurzer Nostalgieanfall: früher gabs ILoveYou, Kournikova, CIH, da schmiss ein Virus mal kurz das halbe Netz über den Haufen. War früher noch alles schöner, besser und aus Holz, Viren noch richtige Viren und Männer noch richtige Männer, die ihre Gerätetreiber selber schrieben?

SkyOut: Du hast recht, die Zeiten haben sich geändert, doch eigentlich gar nicht so sehr. wie man denkt. Betrachten wir doch mal einzelne Faktoren gesondert. Da wäre zum einen die Verfolgung von VXern und die Kriminalisierung des Virenschreibens und -verbreitens. Ein gutes Beispiel hast du schon genannt. Der ILoveYou Wurm zum Beispiel war einer der ersten dieser Art und damals gab es noch keine Gesetze, welche einen solchen Fall richtig behandeln konnte. Somit kam der Autor ungestraft davon. Heute gibt es diese Gesetze, und genug VXer sind auch für das Verbreiten von Malware hinter Gittern gelandet. Es ist also mittlerweile auch eine gewisse Vorsicht eingekehrt. Man prahlt nicht mehr mit großen Viren, wäre doch die Gefahr festgenommen zu werden, viel zu groß. Würmer wie Sasser etwa sind dagegen wieder ein ganz anderer Fall. Solche Würmer sind Ausnahmen, die auf einer ungepatchten Schwachstelle beruhen, von denen es eben nicht ständig welche solch schlimmen Ausmaßes gibt. Außerdem gibt es mittlerweile viel mehr Sicherheit auch auf Anwenderseite, Router werden immer häufiger eingesetzt und bieten schon eine Hardwarefirewall integriert. Aber das alles mag schlimmer klingen als es ist. Schauen wir uns doch nur große Würmer an, wie etwa den MySpace Wurm vor wenigen Jahren oder den recht neuen Orkut-Wurm. Doch wem das nicht reicht, der kann ja den Storm Worm als gutes Beispiel nehmen. Interessant ist hierbei, dass diese Würmer nicht das komplette Netz über den Haufen werfen wollen. Heute stehen finanzielle Interessen dahinter und so hat sich alles etwas verschoben. Der alte VXer-Geist scheint manchmal auszusterben.

Korrupt: In dem Kontext: Alle Welt will ja nur noch Geld verdienen, Kommerzwahn allenthalben, Google übernimmt die adfinanzierte Weltherrschaft, Bloggerwerbung geht bekanntlich über Leichen, der Netzuser verkommt zum Klickvieh, Kunden und/oder Auktionator, und selbst die Botnetz/Trojanerschleudern gieren nur noch nach dem schnöden Mammon. Gibts in der Virii-Szene wenigstens noch ein unbeugsames Dorf von Leuten, die einfach aus der schieren Lust am Coden Viren schreiben oder dieselben aus der reinen Freude an der Zerstörung in die Wildnis aussetzen?

SkyOut: Na klar gibt es diese Leute. Du redest gerade mit einem solchen. Genau das behandelte mein Vortrag beim 24c3. Dass es eben noch diese letzten VXer gibt, welche Viren noch aus ideologischen Gründen programmieren oder einfach des Spaßes halber. Verbreiten tun wir diese meist nicht und darum geht es auch gar nicht mehr. Vielmehr wollen wir als Szene neues erschaffen und nicht zerstören. Also auch, wenn eindeutig eine Entwicklung hin zur Kommerzialisierung der Virenszene gibt, sind doch immer noch Leute da, welche für den Bestand der kleinen von mir beschriebenen VX Szene kämpfen. Solange diese nicht auch noch von Staat, AV oder was auch sonst bekämpft und zerschlagen werden, bleibt also Hoffnung für alle, die von Viren mehr erhoffen als Würmer wie den Storm Worm, sondern vielleicht auch mal etwas Kreatives und Neues. Gutes Beispiel ist etwa einen .xpi Trojaner zu schreiben. Wie gesagt, werde ich dies im Auge behalten als einer der letzten VXer, welche noch Viren aus Spaß an der Sache schreiben.

Korrupt: Was hab ich dich nicht gefragt, sollte ich aber unbedingt erfahren?

SkyOut: Glücklicherweise hast du das Themenspektrum gut ausgedehnt. Ich hoffe einfach, dass den Lesern klar wird, dass VX nichts mit Zerstörungswahn und Racheakten an der Welt zu tun hat. Eine Botschaft, die ich zurzeit über verschiedene Medien versuche zu verbreiten. Ich bin überzeugt, dass wir diesen Kampf um unseren Erhalt gewinnen können, denn ist schon oft vorgekommen, dass Menschen, die an die Wand gedrängt werden, Wege finden sich zu retten und weiter zu machen.

Korrupt: Wie immer meine letzte Frage: Warum kommen demnächst zweifellos bessere Zeiten?

SkyOut: Ich würde dem ja gerne zustimmen, bin aber leider sehr skeptisch. Auch die Aussage "Schlimmer kann es ja kaum noch kommen" wäre nicht passend, denn schlimmer geht es immer und ich befürchte, dass das Geschehene nicht das letzte seiner Art in Deutschland war. Aber die Hoffnung sollte man nie verlieren und auch meine Rede hat dazu beigetragen, dass neue VXer am Horizont aufgetaucht sind. Vielleicht tritt nun eine Wende ein.

Korrupt: SkyOut, großen Dank für Interview und Infos, und frohes Coden auch 2008! :o)

(Anm.: Bilder alle von EOF/SkyOut aus dem EOF Mag 0x01.)

News

• Autor:
• Datum: 05.01.2008 - 16:09
• Alter: 246 Tage
• gulli News abonnieren?

Links

• Beschreibung
• Torrent
• DDL
• siehe Heise
• letztens geschehen
• meiner Seite erreicht
• Smash the Stack
• Burkhard Schröder
• EOF Mag 0x01

Verwandte News

• Virenschreiber im Ruhestand: VX-Crew 29A has left the building
• Geschichte wird gemacht: Was brachte die Woche #1? (mit SkyOut, VXler)

Trackbacks

• Es sind noch keine Trackbacks zu diesem Artikel vorhanden.
• » Keine Trackbacks   » Trackback URL dieses Artikels

• 2 Kommentare zum Artikel

• Ein sehr schönes Interview. Es hat mir Spaß gemacht es zu lesen, weil es genau meine Meinung getroffen hat. Man sollte nicht wegen dem Geld Viren oder was auch immer coden, sondern aus Spaß an der Sache. Auch die anderen angeschnitten Themenbereiche waren sehr interessant. mfg SickSta

  SickSta am 06.01.2008 17:30

• warum muss ich bei dem ständig an ein fxp kiddy denken? kanns mir nicht erklären.

  vibi am 08.01.2008 19:14
• [...] Diskussion lesen oder Artikel kommentieren