I #WannaCry

CR235 Der Angriff der Cryptotrojaner ()

Als der Krypto-Trojaner #WannaCry ausbrach, wurde uns allen mal wieder ins Bewusstsein gerufen, wie sehr unser tägliches Leben davon abhängt, dass unsere Computer zuverlässig funktionieren. Teile der öffentlichen Infrastruktur waren beeinträchtigt, Krankenhäuser und Bahnverkehr kamen zum Stillstand. Im Chaosradio 235 klärt Konrad Spremberg mit seinen Gästen die Hintergründe und beleuchtet die dunkelsten Ecken des Darknet. Dabei geht es um Trojaner und Viren, aber auch Gegenmaßnahmen, die wirklich vor einem Angriff schützen können.

Mitwirkende

avatar
Konrad Spremberg
avatar
Peter
avatar
Mirar
avatar
danimo

16 Gedanken zu „I #WannaCry

    • Cool, des is ja sogar Open-Source. Is leider kein Ersatz für Time-Machine aber sieht aus wie ne ganz coole Rsync-Alternative für Windoge mit nem netten GUI.

  1. „Also meine Oma und Linux wird nicht mehr.“ Konrad Spremberg

    Warum nicht? Meine Großeltern benutzen auch Linux(Ubuntu) ohne große Probleme!

    Außer das sich in der Linuxwelt ähnliche „Scherze“ wie in der Virenscannerwelt erlaubt werden – 100% sicher, Virenscannerwelt; stable in der Linuxwelt(welche Linuxdistro ist nicht so selbstherrlich???) oder unter anderem das die Updates z.B. den Bootloader zerschießen(ist mir bei Ubuntu und Mint schon passiert) oder die deutsche (semi-)lokalisierung zerschossen wird.

    Wer nicht wagt der nicht Gewinnt(oder Verliert?!)

    Gruß

  2. Duplicati kann sogar Time-Machine-ähnlich so mehrere Backups (Snapshots? Keine Ahnung, wie das der Fachbegriff is) über Zeiträume hinweg, die du dann einzelnd wieder herstellen kannst (oder nur ausgewählte Dateien).

    Is bei größeren Dateimengen insgesamt etwas langsamer und natürlich nich so durchgestylt wie TM aber ich benutz das Tool sehr gern.

  3. Höre gerade den Podcast und kann auch Duplicati sehr ans Herz legen!! Läuft im Browser, OpenSource und für Win, Mac und Linux lauffähig. Ich nutze es bei Freunden, die vom Programm in regelmäßigen Abständen von mir definierten Zeitpunkten dazu aufgefordert werden, auf eine externe HDD sichern.

    Duplicati is a free, open source, backup client that securely stores encrypted, incremental, compressed backups on cloud storage services and remote file servers. It works with:

    Amazon S3
    OneDrive
    Google Drive (Google Docs)
    Rackspace Cloud Files
    HubiC
    Backblaze (B2)
    Amazon Cloud Drive (AmzCD)
    Swift / OpenStack
    WebDAV
    SSH (SFTP)
    FTP
    and more

  4. Ich lausche gerade diese Sendung noch einmal als Konserve. Finde Herrn Spremberg gut aufgehoben mit dem Chaosradio, wie zu Zeiten mit J.Haeusler und H.Klein.
    Als Sicherungssoftware nutze ich Acronis True Image, sowohl fuer Linux (EXT4), als auch Windows. Pflichte dem Kommentar von Hans Bimbelmann bei, meine Mutter wird 78 und sie nutzt Linux Mint, laeuft…

    Liebe Gruesse an das Chaosradioteam und Radio Fritz!

  5. (a) Sicherungsprogramme unter Windows 7
    Seit Windows 7 ist ein leistungsfähiges Backupprogramm in Windows Client Varianten enthalten, das in Windows 10 unter dem Namen „Backup and Restore (Windows 7)“ zu finden ist. Das Programm ist Apple’s Time Machine technologisch in so fern deutlich überlegen, als dass es sowohl vollständige Sicherungen/Wiederherstellungen des Systems als auch von einzelnen Dateien auf Blockebene unterstützt, im Gegensatz zum dateiorientierten Ansatz von Time Machine. Unschlagbar scheint mir dagegen die wunderbare UI von Time Machine, dagegen stinkt Microsofts Lösung völlig ab.

    Leider scheint dieses Tool bei Microsoft ungebliebt zu sein, da es in der Oberfläche tatsächlich schwer zu finden ist. Deshalb „merkt“ man sich als „Experte“ besser den Dateinamen des Binaries: sdclt.exe

    Ein weiterer, entscheidender Nachteil ist die funktionale Beschränkung in den „niedrig preisigen“ Windows 7 Versionen. Aus diesem Grund empfehle ich sehr den Einsatz von „Veeam Endpoint Backup“ (alter Name) / „Veeam Agent for Microsoft Windows“ (neuer Name):
    https://www.veeam.com/de/windows-endpoint-server-backup-free.html

    Dieses kostenfreie Produkt ist gleichermaßen einfach zu bedienen, weist einen sehr sinnvollen Funktionsumfang auf und ist nach meiner Erfahrung sehr zuverlässig. So hat man u.a. die Wahl, ein lokales Backup auf Wechselfestplatte zu erstellen, das nach der Sicherung ausgeworfen wird und beim nächsten Anstecken der Platte erneut sichert. Das ist absolut „Oma“-kompatibel. Sicherungen auf Netzwerkziele werden ebenfalls unterstützt.

    Die mit Windows 8 eingeführte „File History“ ist technologisch weit unterlegen, da bevorzugt Dateikopien im Netzwerk erstellt werden; eine Sicherungsart, die bei Wannacray und Co. wenig hilft, da diese Dateien dann ebenfalls verschlüsseln würden.

    (b) SMB und die Ursachen von WannaCry
    Zum korrekten Verständnis der WannaCry Epidemie empfehle ich die präzisen Ausführungen von Linus Neumann, zum Bsp. in LNP 221:
    https://logbuch-netzpolitik.de/lnp221-ich-glaub-doch-nichts-was-die-regierung-sagt

    SMB ist in den verschiedenen Versionen von Beginn an eine Kompomente des Betriebssystems Windows NT (heute Windows 7, 8, 8.1, 10 etc). Funktional enspricht Sie den NFS-Diensten in unixoiden Betriebssystemen. SMB war/ist prinzipiell proprietär, Microsoft hat jedoch in verschiedenen Anläufen versucht, eine Standardisierung zu fördern und unter anderem mit den SaMBa-Entwicklern an diesem Punkt zusammen gearbeitet. SaMBa ist eine verbreitete OpenSource-Software, die das Verhalten von SMB-Clients und -Servern imitiert.

    Die Implementierungen von SMB waren/sind feherhalft. Dies gilt ebenso für NFS. Dies gilt ebenso für SaMBa (=> SambaCry). Dies gilt ebenso für vermutlich JEDE komplexe Software auf der Welt. Aus diesem Grund sind Softwareaktualisierungen bedeutsam, wie wir alle wissen.

    Die Kernursache für die Tragweite des WannaCry-Befalls ist weniger die Software selbst, wenn wir davon ausgehen, dass jede Software Fehler beinhaltet und hierdurch Exploits ermöglicht. Die Kernursache findet sich in der fehlenden Bereitschaft, Patches aufzuspielen. Durchgepatchte Windowssysteme sind schon Wochen vor dem Befall nicht anfällig gewesen. Dieses Problem ist somit völlig unabhängig von der eigentlichen Software: würde ein SSH-Server nicht gepatched, würde ein entsprechender Angreifer in Windeseile Millionen von Betriebssystemen ownen können. Egal welches Betriebssystem dahinter läuft.

    Politisch wird WannaCry dadurch, dass die NSA, eine staatliche Behörde der USA, (US-) Hersteller nicht auf gefundene Lücken hinweist. Microsoft selbst kritisiert die rechtliche Situation in ihrem eigenen Land sehr deutlich:

    https://www.neues-deutschland.de/artikel/1051130.microsoft-kritisiert-nsa-wegen-sicherheitsluecke.html

    (c) Update-Zyklen, Gewährleistung
    Windows XP wurde im August 2001 veröffentlicht und wird seit April 2014 nicht mehr gewartet. Dies sind über 13 Jahre und stellt ein marktünüblich langes Zeitfenster dar. Welches Client-Linux wird so lange gepflegt? MacOS? FreeBSD?
    So gesehen ist die im Laufe der Sendung angedeutete Kritik über unzuverlässigen Support des Herstellers unhaltbar.

    Man kann und sollte sich über Fragen der Gewährleistung bei Software unterhalten. Da liegen aber die Versäumnisse in der Politik. Ich würde es persönlich sehr begrüßen, wenn Hersteller SoftwareCode veröffentlichen müssten, wenn das Wartungsfenster endet.

    (d) Windows optimieren
    Für „normale Anwender“ ist unter Sicherheitsaspekten der sinnvollste Ratschlag: Ändere nichts an den Systemvoreinstellungen. Per default schützt die integrierte Hostfirewall vor dem Zugriff auf das SMB-Protokoll. Per default werden Sicherheitsaktualisierungen automatisch ausgeführt. Per default verfügt Windows über eine Malwareerkennung.

    Da dies für viele Experten ein offenbar zu „langweiliger“ Ratschlag ist, werden immer wieder kontraproduktive Verbesserungen vorgeschlagen:
    Installation von 3rd-Party-Virenscannern, Ausschalten von Diensten, Ausschalten der UAC („bringt ja eh nix ..“) etc. Für jeden Anwender, der nicht mutwillig die Konfiguration geändert hat, ist WannaCry keine Bedrohung.

    Für die Nerds, simple Schritte zur Härtung, die etwas bringen:
    – Einrichten eines Standardbenutzerkontos (muss man explizit erstellen).
    – Deinstallation von SMBv1: Disable-WindowsOptionalFeature -FeatureName smb1protocol -Online
    – Bitlocker aktivieren (falls Anwendender mobil, als Diebstahlschutz)
    – Anwender vom IE abraten (kann man zur Not auch deinstallieren), stattdessen Chrome oder Opera installieren (nein, nicht Firefox installieren. Der Browser ist zwar supersymphatisch, aber statistisch leider keine gute Wahl, wenn es um Sicherheit geht).

    Abschließend noch ein Lesetipp: ein Ex-Mozilla-Entwicklers berichtet von der Qualität des integrierten Anti-Malware-Programms:
    https://www.heise.de/security/artikel/Ex-Firefox-Entwickler-raet-zur-De-Installation-von-AV-Software-3609009.html

    (e) Kritik an der Sendung
    Fakten und Meinungen, Messdaten und Vorlieben sollten in einem journalistischen Beitrag deutlich getrennt sein. Im Umfeld des CCC gibt es eine Tendenz Produkte zu verunglimpfen aufgrund persönlicher Präferenzen, was zunächst als private Meinung völlig OK ist. Was aber nicht sein darf ist, dass man den Eindruck technischer Kompetenz (zum Bsp. im Kontext von Linux) herausstellt und aus diesem Nerdkarma Kompetenzen in anderen Gebieten ableitet. Ein guter Windsurfer ist nicht zwangsläufig ein guter Tennisspieler. CR 235 war diesbezüglich streckenweise peinlich. Ich möchte ungern jemand anfeinden, aber ich kann das in diesem Fall nicht anders formulieren. Eine „Windows-Sendung“ zu produzieren, in der sich über längere Strecken fachfremde Personen willkürlichen Spekulationen und gefährlichen Ratschlägen widmen, diskreditiert die fraglos vorhandene Expertise vieler Personen im Umfeld des CCC.

    Vor allen Dingen diskreditiert es Danimo, Peter und Mirar, an deren vorzüglicher Expertise ich keinerlei zweifel habe – nur leider nicht im Kontext des Themas der Sendung.

    Solltet Ihr in Zukunft kritische Windows-Experten benötigen, kann ich Euch gerne einige Fachleute empfehlen, die Ihr ansprechen könnt.

    P.S. Entschuldigung für die Verwirrung, die mein Tweet hinsichtlich der Metaebene ausgelöst hat: ich weiß, dass CR un d CRE getrennte Dinge sind und das CR nicht von Tim produziert wird. Der Tweet bezog sich auf die allgemeine Tendenz, dass (einige) Personen im Umfeld des CCC den Themenbereich Windows kenntnisarm aber lautstark bearbeiten.

  6. Das ist nun schon der dritte Podcast zum Thema Crypto-Trojaner, der die Frage nicht beantwortet, die ich mir schon lange stelle: so ein home-PC hat heute um 1TB Speicher. Die verschlüsseln sich ja nicht in ein paar Sekunden.
    Wie arbeiten diese Viren also? Verschlüsseln sie im Hintergrund, geben währenddessen normalen Zugriff und machen erst dicht, wenn alles fertig ist? Notfalls über mehrere Sessions?
    Müßte man das nicht bei einem PC mit HDD irgendwann hören, daß da permanent geschrieben wird?

  7. Man mag weiter im Norden die sogenannte „Berliner Schnauze“ irgendwie für charmant halten. Ich finde es einfach nur unangenehm, wenn man beim Podcasthören plötzlich vom Moderator angeschrien wird, zB Timecode 16:07.

    In Zukunft bitte wieder mit Marcus Richter!!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert