News Neue Conficker-Angriffswelle am 1. April

[dgschrei]

Soweit ich das hier verstanden habe, funktioniert das so.

Wenn der Conficker sich in einem Rechner deines Heimnetzwerkes, Firmennetzwerkes etc eingenistet hat, scannt er das Netzwerk nach freigegebenen Laufwerken und Rechnern ab und versucht sich dann auf diesesn einzunisten. Sind diese Rechner und Laufwerke nicht mit Passwörtern geschützt, hat man sich den Wurmd sowieso schon sicher eingefangen. Wenn nun allerdings die Laufwerke und Rechner durch Passwörter geschützt sind, startet Conficker eine Brute-Force-Attacke um diese Passwörter zu knacken und so Zugriff auf die Rechner zu erlangen. Wenn nun die Passwörter länger sind und noch diese Sicherheitsbedingungen erfüllen, dann sinkt die Wahrscheinlichkeit, dass Conficker diese knacken kann gegen null, da eine erfolgreiche Brute-Force-Attacke dann einfach viel zu lange dauern würde.

als Beispiel.
Ein acht Zeichen langes Passwort, das aus Zahlen und Buchstaben in Groß und Kleinschreibung besteht. Damit gibt es für jedes Zeichen 26x2 + 10 =62 Möglichkeiten, womit es für das gesamte Passwort 62 hoch 8 Möglichkeiten gibt, oder wenn ich die Zahl mal aus dem Rechenr kopiere:

218.340.105.584.896 Möglichkeiten.

Selbst wenn Conficker 1.000.000 Möglichkeiten pro Sekunde durchtesten könnte, würde eine Brute-Force-Attacke, die mit Sicherheit zum Erfolg führt 6,9 Jahre dauern.

Natürlich besteht trotzdem immer noch die Chance, dass der code durch Zufall wesentlich früher gecknackt wird, allerdings fällt der Wurm dann normalerweise durch die enorme Netzwerklast, die er bei seiner Attacke generiert auf und kann dann vom Admin ganz einfach aus dem Netzwerk entfernt werden, indem einfach der infizierte Rechner vom Netz getrennt wird. Wenn die Rechner nicht geschützt sind, müsste man das gesamte Netzwerk entseuchen, was oft nur durch Formatieren aller Festplatten möglich ist, was natürlich vor allem in Firmen zu hohem wirtschaftlichen Schaden führen kann.

 

[hoffi13]

Naja, kann mir jmd nen Programm nennen, mit dem ich meine Sicherung möglichst gut Passwortschützen kann?

MfG

 

[dgschrei]

Kannst sie ja komplett mit Truecrypt verschlüsseln. Dann ist die gesamte Sicherung dank dem Prinzip der glaubhaften Abstreitbarkeit, nur noch eine anscheinend unformatierte Festplatte, mit der Conficker nichts anfangen kann.

Ein schöner Nebeneffekt ist, dass du in dem Truecrypt Volume auch noch deine nicht ganz so legalen Dateien, oder eben Dateien von denen du nicht willst, dass sie jemand sieht, mit drauf packen kannst, dann nimmt die Polizei z.B. bei einer Hausdurchsuchung, wie sie mittlerweilen dank Rechtsstaat ja schon fast jedem passieren kann, zwar die Festplatte mit, können dann aber nichts damit anfangen. Dann behauptet zwar die Polizei gerne, "Das entschlüsselt das BKA in ner halben Stunde." allerdings kann man das bei ner Verschlüsselung mit AES oder Serpent komplett vergessen.

 

[Sc0ut3r]

9 mio. infizierte rechner?

heißt für mich das diese 9mio. rechner mit einer mangelnder firewall ausgestattet waren (oder garnicht) bzw. der mensch dafür gesorgt hat das der rechner befallen wurde...

find solche meldungungen immer wieder amüsant, das es in der heutigen zeit immer noch menschen gibt die so unvorsichtig durch netz gehen

 

[TheK]

heißt für mich das diese 9mio. rechner mit einer mangelnder firewall ausgestattet waren (oder garnicht) bzw. der mensch dafür gesorgt hat das der rechner befallen wurde...

Nein. Im Gegenteil: Das Ding lebt davon, dass die meisten (eben auch die meisten Admins) davon ausgehen, dass man hinter einer Firewall sicher ist und sich die Rechner im eigenen LAN daher gegenseitig blind vertrauen.

 

[feuerfuchs]

Heißt es, dass es dann am 1. April sinnvol ist, den PC vom Internet abzutrennen?
Oder telefoniert der dann am 2. April nach Hause?

 

[R@zr]

woher weiß man dass der eigene pc befallen ist?

 

[NOOB]

auf die aussage "ich kenne niemenden der sich infiziert hat" schau einfach mal nachrichten die bundeswehr wahr zu 90% lahmgelegt die französische marine das britishe parlamanent deutsche behörden... reicht das?

ultra-lol, ja genau und diese "Medien" sind ja alle auch so seriös - interessant ist auch das nur staatliche Einrichtungen / die Industrie befallen sind. Kenne eine mittelständische Computerfirma die Privatleute und auch andere Firmen betreuen. Bisher haben die den Wurm auch noch nicht gesehen....

Mir kommt das ganze sehr spanisch vor.

 

[Realsmasher]

woher weiß man dass der eigene pc befallen ist?

das wüsste ich auch gerne.

Irgentwie doch sehr merkwürdig....tausende von Rechnern seien bisher ausgefallen deswegen, auf der anderen Seite soll aber fast jeder 10te rechner befallen sein, die Leute wissen aber nicht davon

 

[anima322]

Also ich hab alle MS Updates drauf, und Norton Internet Security 2009 immer aktuell!
Ich besuche keine ominösen sites sondern nur ein paar und ansonsten zocke ich ein bissl über steam.

Und selbst wenn ich nen virus hätte <- getan hat er mir noch nichts, transaktionen übers inet mach ich nicht (höchstens bestellungen bei amazon) und ich werd nächste woche sowieso n format c: machen und dann soll conficker schaun wo er sich hin rettet falls er drauf ist!

 

[noskill]

Zu den Linuxern, es gibt auch genug Linux Rechner die von entsprechenden Würmern befallen sind. Nur geht es dabei eher um Server und nicht um Heimrechner. Die Server wurden dann bei anderen Würmern unter anderem dazu verwendet um Schadcode nachzuladen etc. Da der Wurm ja wenigstens eine Feste Domain bzw. IP braucht von der er Daten und Instruktionen bekommt ("Command and Control" Server), und dafür eigenen sich Server von "Hobby Admins" hervorangen. Einmal Installiert und mit der Zeit sind viele Sicherheitslücken bekannt geworden die nicht gepacht wurden... keiner kümmert sich um den Server etc. schon hat man einen super Command an Control Server auf den die Bots zugreifen können ...
- booZy

Ah da hat ja jemand (keine) Ahnung.
Erklär mir mal wie ein Windows Wurm, einen Linux Rechner befallen will, wenn er keine Schreibrechte hat und ausserdem für Windows programmiert wurde?
Die einzige Möglichkeit wäre, dass eine infizierte Datei auf einem Linux-Server lagert...da kann sie aber nichts machen ausser rumliegen, ist also in Quarantäne bis sie auf einem Windowssystem ankommt.
Fakt ist, dass in einem Windowssystem alles und jeder volle Schreibrechte hat bzw. ohne großen Widerstand bekommen kann...bei Linux ist das eben nicht der Fall.
Wer keine Ahnung von Linux hat und nur in Windows lebt sollte sich nicht einbilden, dass alle Betriebsystem so anfällig sind wie Windows.
Windows hat seine Verbreitung eben deshalb erreicht, weil es unheimlich leicht zu bedienen ist und keine Zugriffsperren hat.
Ihr vertraut darauf, dass jede .exe die ihr ausführt, jeder Cookie den ihr herunterladet etc. nicht auf der Systemebene eures Rechners was herumfummelt -> selbst Schuld wenn man sich von irgendwelchen russischen Hackerseiten Cracks etc. lädt!
Antivirenprogramme können bei Windows nur im nachhinein Lücken füllen, die in einem vernünftigen Betriebsystem nicht existieren dürften.

 

[Creshal]

wenn er keine Schreibrechte hat

Da er mindestens mit Userrechten läuft hat er Schreibrechte im Home-Ordner, und das reicht um Userdaten auszuspähen und sich weiterzuverbreiten. Und Sicherheitslücken, um an höhere Rechte zu kommen, gibt es auch bei Linux, wenn auch recht selten (und die sollten recht zügig gepatcht werden). Ein Linux-User, der auf alles klickt was nicht bei drei auf den Bäumen ist und Sicherheitsupdates nicht installiert ("Wie, Kernel-Update? Dann ist ja meine schöne Uptime weg!"), kann sein System genauso gut verseuchen wie ein entsprechender Windows-User. Kein OS schützt vor Blödheit.
Bei Servern kommen noch die ganzen "ich hab ja Linux, ich muss mich nicht um Sicherheit kümmern"-Möchtegernadmins dazu, die (un)wissentlich selber Sicherheitslücken aufreißen (sicheres SSH-Passwort? Nur zusätzlicher Tippaufwand. Programme nicht als Root, sondern als eigener User starten? Zu kompliziert. usw. usf.).

 

[serra.avatar]

Was mich an dem Ding _extrem_ wundert, ist dass er schon fast gezielt auf Behördennetze loszugehen scheint... Selbige hat es so ziemlich überall erwischt; nur ist mir keine einzige Meldung bekannt, in der es ein Wirtschaftsunternehmen oder gar eine Privatperson erwischt hat.

Naja aber auch nur deshalb das es keine Sau interressiert wenn nen Privatrechner davon infiziert ist ... oder hängst du das in jede Tageszeitung wenn dein Rechner nen Virus hat ?

Behörden stehen halt im Blickpunkt und da gibts dann ne Meldung zu... Wirtschaftsunternehmen wurden auch schon genannt die betroffen waren und andere Wirtschaftsunternehmen vertuschens evtl.

Immer diese Scheuklappenuser hier ... gerade dies ePC sinds doch meistens die zu Virenschleudern werden: " mir kann das ja ned passieren "

Man braucht kein gecracktes BS oder Pornssites heutzutage um sich was einzufangen ...

 

[ChilliConCarne]

Fakt ist, dass in einem Windowssystem alles und jeder volle Schreibrechte hat bzw. ohne großen Widerstand bekommen kann...bei Linux ist das eben nicht der Fall.

Stimmt so nicht ganz. Eine Linuxkiste kannst du idR ganz gut über Exploits für Server-Applikationen die im Hintergrund laufen kapern. Je nachdem wie fähig der Admin ist, kann sich das aber auch als nahezu unmöglich darstellen. Die Lücken müssen dann nicht unbedingt nur mit der Server-Applikation zusammenhängen, sondern vielleicht auch indirekt oder direkt mit dem Kernel. Es gab glaube ich mal ein Leck im Linux Kernel, dass sich über drei Minor Releases ertstreckte. Je nach Lücke, ist es dann möglich als root Mist zu bauen, bzw. im für root reservirten Speicher rumzupfuschen.

Im Gegenzug muss man jedoch sagen, dass diese Angriffe sehr gezielt sind. Ein Phänomen wie Conficker, kann ich mir unter Linux kaum vorstellen, da zu einem erstmal die vielen verschiedenen Kernelversionen die eingesetzt werden ein Problem darstellen. Dann kommen noch die verschiedenen Distributionen deren Systemaufbau sich teilweise extrem unterscheidet. Zudem kommen noch einzelne Versionen und Patches für einzelne elementare Bibliotheken und Applikationen die nicht mit dem Kernel Release Zyklus kommen. Auch wenn Linux die Betriebssystemspitze am Desktop einehmen würde (was ich stark bezweifle), wäre es so gut wie unmöglich einen so flächendeckenden Wurm wie Conficker zu produzieren.

Daher halte ich die Aussage "Wenn alle Linux nutzen würden, dann ...", die eine Proportionalität zwischen Verbreitung und Sicherheit unterstellt, für ausgemachten Blödsinn.

 

[nyal]

Egal ob das von den Medien n ur gepusth wird oder nicht, es schafft auf jeden Fall eine Präsenz.


Es gibt soviele Idioten, die mit ungesicherten System aktiv im www dabei sind, und durch solche Würmer werden DIE wachgerüttelt und es wird allgemein schwerer - hoffe ich zumindestens.

 

[Adam Gontier]

Hoffentlich ist das ein Aprilscherz.
Ich habe meine Daten noch nicht gesichert.

 

[Scheinweltname]

meine größte Sorge ist eigentlich, dass jemand in meinem Wohnheimnetzwerk infiziert ist ... andererseits sollte man doch meinen, dass die Firewall einer Uni mit ausgezeichnetem IT-Bereich was kann ...

Vielleicht lachen sich die Programmierer auch nur ins Fäustchen, weil alle Panik schieben und dann am 1.4. keiner ins Netz geht, was ja vermutlich Milliarden Verluste durch fehlenden Traffic nach sich ziehen würde.

 

[Timmynator]

Was mich an dem Ding _extrem_ wundert, ist dass er schon fast gezielt auf Behördennetze loszugehen scheint... Selbige hat es so ziemlich überall erwischt; nur ist mir keine einzige Meldung bekannt, in der es ein Wirtschaftsunternehmen oder gar eine Privatperson erwischt hat.

Von dem Wurm war u.a. auch schon ein Krankenhausnetzwerk befallen.

Es dürfte nicht an einer speziellen anarchistischen Programmierung des Wurms liegen, sondern vielmehr der Tatsache geschuldet sein, dass die meisten Unternehmen eine IT-Abteilung haben, die zumindest auf halbwegs aktuellem Stand ist und dementsprechend das Netzwerk gegen Attacken zu schützen versucht.

Bei den Behörden dürfte es eine unglückliche Kombination aus mehreren Faktoren sein. Dabei dürfte wahrscheinlich veraltete Software eine Rolle spielen, die einen "never touch a running system"-Ansatz des Rechenzentrums zur Folge hat, sowie Mitarbeiter, die aufgrund mangelnder Schulung zur IT-Sicherheit / mangelndem Interesse sichere Passwörter nur als eine weitere Lästigkeit empfinden.
Wenn ich mich recht entsinne kann man weit mehr als 50% aller Passwörter aus einem Wortschatz raten, der ca 3.000 triviale Wörter (Automarken, Mutter, Vater, Admin, etc.) umfasst. Das dürfte im Rahmen einer Brute-Force-Attacke relativ leicht zu bewerkstelligen sein, falls die für den Wurm relevanten Netzwerkfreigaben überhaupt durch Passwörter geschützt sind/waren.

Lange Rede, kurzer Sinn: Die Verbreitung ist von der Sensibilisierung der IT-Abteilung UND der Mitarbeiter eines Unternehmens / einer Behörde abhängig.

 

[wazzup]

Hoffentlich passiert irgendwas schlimmes, das nur XP-User und Vista-User mit deaktivierter UAC betrifft, weil Vista und die UAC ja so scheisse und unnötig ist.

Warum sollte es? Es wird wohl wenn nur hirnlose user treffen die auf jeden mist draufklicken, und dateien aus jeder quelle saugen und am besten ihren ungesicherten rechner in die dmz stellen... Mit UAC oder vista hat das nix zu tun.

Wie gesagt, bin mal gespannt, sind ja nur noch ein paar h bis zum 1.4.

 

[Seby007]

Also ich habe die Erfahrung gemacht, mit Win98, WinNT und WinXP über Monate hinweg keine aktuellsten Updates zu nutzen, sondern nur die jeweiligen Servicepacks. Kein Virenscanner oder Softwarefirewall. Stundenlang gesurft, auch in zwielichtigeren Ecken. Kurz vorm Format C aktuellen Virenscan des Komplett-System gemacht... immer gleich 0. Und jetzt eben auch... nix!