Wie vor Abhörung schützen? (theoretisch)

[Jennchen]

Ich war mal wieder auf Wikileaks unterwegs und habe ne Broschüre zu einem "Staatstrojaner" vom 15.9 gefunden.. nur wenn sowas möglich ist wie da beschrieben wie soll man sich vor Sachen wie

FinFly USB / Infection ISO Image
FinFly USB Infection Dongle - Bootable Mode
Infection ISO Image
The FinFly USB dongle and the Infection ISO Images can infect the MBR of the system in one of the following situations:
 The installed OS is unencrypted
 The installed OS is encrypted with TrueCrypt
 The installed OS is encrypted with BitLocker

Wenn selbst TrueCrypt nicht schützen soll, was dann?--

Angeblich soll das Ding von keinerlei AV erkannt werden, sich vor jeglichen Monitoringprogs verstecken, selbst vor dem Betriebssystem selber.. aber gleichzeitig Mic, Webcam, Screenshots, Keylogger ect. pp. besitzen.. wie soll sowas technisch möglich sein? Kein Virus kann doch ohne Kernel laufen? Dafür bräuchte er real mode Zugriff, welches wenn er vor Windows das macht, Windows nen Bluescreen produzieren müsste.. und wenn er es nach Windows macht, müsste der Kernel es merken und es in Logs eigentlich auftauchen.. und auch schleichende Änderungen müsste ein modernes System spästenstens zuletzt im FileSystem speichern.. und wenn da rum gewurschelt wird wäre es eigentlich dauernd "defekt" und das müsste Windows auch merken.. und daran auswertbar sein.. oder wo ist mein Denkfehler?

Ausserdem kann man eigentlich nicht wirklich unbemerkt auf den Speicher zugreifen können (für Screenshot, Keylogger und Co.), DMA mal ausgenommen. Aber mal angenommen keinerlei externen Gerät hat DMA Recht, kein virtueller Treiber der DMA nutzt ist in Windows freigegeben, dann dürfte nur der Kernel Speicherzugriff haben und das müsste man eg. auswerten können, s.O

Iwie überfordert mich das leicht^^

 

[john.smiles]

Einfach nicht mit dem Inet verbinden. Dann müssen sie ein Team schicken um deinen Monitor und Tastatur mit Richtantennen abzuzapfen

 

[Jennchen]

Na ja ... mir ist schon klar das man sich nicht wirklich ernsthaft schützen kann und ich bin auch nicht paranoid. Nur ich verstehe nur nicht wie man grundlegende Architekturbedingte Sicherheitsmaßnahmen umgehen kann ohne - angeblich - keinerlei Spuren hinterlassen zu können. Bisher hat jeder Virus/Wurm/Trojaner immer irgendwelche Spuren hinterlassen und die brüsten sich damit das ihr Programm das nicht tut - aber wie bitte schön? Sie wollen nen codeinjekt in Skype machen - ohne das es jemand merkt, wie? Sowas geht theoretisch nur über den Kernel - und wenn man es über den Kernel machen - müsste der ja seine eigene Aktion, die er selber ausführt ja auch selber registrieren. Und wenn nicht warum? Eine bekannte Lücke? Wenn ja, warum noch nicht behoben? Und wenn nicht bekannt, warum kennen diese Lücke spezielle Firmen und nicht die Softwarehersteller? Und selbst wenn, wie soll man eine Datenverbindung über Proxys aufbauen ohne das integrierte TCP/IP Protokoll von Windows herstellen? Geht ja nur darüber.. und diese Schnittstelle direkt von Monitoringprogs. geloggt wird, wie diese umgehen?

 

[Sir_Sascha]

vor den Behörden kannst du dich nicht wirklich schützen. Aber du kannst deinen Rechner verschlüsseln, dein AV-Programm aktuell halten ( FinFisher wird erkannt -> selbst getestet ). Aber wenn wirklich jemand auf deine Kiste will, dann wird der da auch drauf kommen.

 

[Jennchen]

Mir stellt sich eher die Frage.. wie sowas grundsätzlich funktionieren soll.. weil zum Großteil was da beschrieben ist, braucht man entweder real-mode Rechte, Kernel- oder DMA Zugriff. Und alles müsste theoretisch auf irgendeine Art und Weise geloggt, aufgezeichnet oder auf eine andere Weise nachweisbar sein. Bspw. wenn Prog A etwas in Prog B einschleusen will, braucht Prog A Adminrechte. Aber dank UAC dürfte Prog A ohne Einverständnis des Benutzers diese gar nicht besitzen, also wäre der Angriff nutzlos. Wenn jetzt ein Programm das Adminrechte durch eine Sicherheitslücke infiziert werden sollte, müssten dessen Aktion trotz allem in Logs auftauchen, spätestens im FileSystem wie paar Posts vorher beschrieben. Und ein Angriff vor Einsatz des Kernels, setzt Real-Mode Recht vorraus, wenn diese jedoch vor Windows in Anspruch genommen wird (durch Rootkits oder ähnliches) müsste das Windows auch merken und eine veränderte Größe des MRB anzeigen und wenn nach Windows - läuft es immer über den Kernel also wie also diesen austricksen?

 

[Daaron]

Im einfachsten Falle? Installiere einen eigenen "Treiber", also ein Kernel-Modul, dass ab jetzt dazwischen funken kann. Dadurch, dass das Rootkit als Teil des Kernels fungiert, kann es sich auch aktiv vor Scannern und Logs verbergen.