Noch einige Infos zu Flame, und dann auf zur #ipc12

Wie der Titel schon vermuten lässt, werde ich diese und auch die zweite Session auf englisch halten. Da ich keine Lust habe, hier im Blog zwischen den Sprachen zu wechseln, gibt es auch diese Kurzinfo auf deutsch. Verlinkt ist die englische Originalbeschreibung, die mit dem folgenden aber nur wenig zu tun hat.

Ich einem Shorttalk kann man naturgemäß nicht viel Stoff unterbringen, und wie Sie vielleicht schon bemerkt haben, kann ich alles, nur keine kurzen Texte schreiben. Und auch bei der Session fiel mir die Auswahl der Themen schwer. Und ehrlich gesagt, weiß ich heute noch nicht, was ich Mittwoch dann tatsächlich vortragen werden. Geplant sind die Vorstellung eines relativ neuen Angriffs, einiger grundsätzliche Probleme und, da ich weiß, dass so etwas immer gerne gesehen wird, eine Demonstration.

How to avoid the "low hanging fruit"-vulnerabilities

Für diesen Shorttalk gilt das oben gesagte noch viel mehr - es gibt so viele "low hanging fruit"-Schwachstellen, dass mir die Auswahl wirklich schwer fiel. Ich habe einige, die mir wichtig erscheinen, ausgewählt und hoffe, dass die Zeit dafür ausreicht. In der Theorie und beim Ausprobieren hat es geklappt, aber am Mittwoch sieht vielleicht alles ganz anders aus.

Eine Seite der Präsentation möchte ich Ihnen nicht vorenthalten:

Und das ist wirklich erst gemeint, denn wenn jemand etwas von dem Vortrag nicht kennt, hat er sehr wahrscheinlich eine oder auch mehrere Schwachstellen in seiner Webanwendung, und das wollen wir doch alle nicht hoffen, oder?

Lesestoff (nicht nur) für die Daheimgebliebenen

Auch wenn es keinen "Standpunkt"-Text gibt, gibt es natürlich einiges, zu dem ich gerne meinen Senf dazu geben würde. Zumindest Flame möchte ich kurz erwähnen:

Mikko H. Hypponen von F-Secure hat zum Versagen der Antivirenhersteller im Fall von Stuxnet, Duqu und Flame Stellung genommen: "On Stuxnet, Duqu and Flame". Die Virenscanner können uns also nicht vor allen Angriffen schützen, zumindest nicht vor gezielten. Ach?

Was Flame betrifft: Den hält auch das BSI für "keine neue Superwaffe im Cyberkrieg". Was Kaspersky prompt zu einer neuen Warnung veranlasst. Es wäre ja auch peinlich, nach all dem Trara zugeben zu müssen, dass der gemeldete Waldbrand nur aufgewirbelter Staub ist. Wenn man schon mal einen "Superschädling" aufgedeckt hat, möchte man den natürlich auch auskosten.

Ansonsten gibt es wenig Neues:

• "Flame-bait Questions" von F-Secure als FAQ,
• "What the Skywiper Files Tell Us" von McAfee mit Informationen zum Herstellungsdatum,
• "W32.Flamer: Spreading Mechanism Tricks and Exploits" von Symantec mit Informationen zur Verbreitung,
• "Flamer: A Recipe for Bluetoothache" von Symantec mit Informationen über das Bluetooth-Modul,
• "Painting a Picture of W32.Flamer" von Symantec mit einem Überblick über den Aufbau von Flame,
• "News Roundup: What The Experts Are Saying About The Flame Worm" von threatpost, dem "Kaspersky Lab Security News Service",
• "Kaspersky's Problematic Flame Analysis" von Jeffrey Carr, der Kasperskys Rolle hinterfragt,
• und Johannes Ullrich vom Internet Storm Center beantwortet die Frage "Why Flame is Lame".

Und was fehlt in der Liste? Richtig: Kaspersky hat nichts Neues zu berichten. Nun war der erste Bericht sehr ausführlich, ließ aber viele Fragen offen. Aber vielleicht wartet man ja selbst noch auf die Antworten? Wie heißt es so schön? "Mühsam ernährt sich das Eichhörnchen". Nach und nach werden alle Fakten an Licht kommen. Oder auch nicht. Warten wir es ab. Eine Gefahr besteht jetzt ja nicht mehr, jedenfalls nicht durch Flame. Den sollte inzwischen jeder Virenscanner erkennen.

Stuxnet: Obama wars!

Der Verantwortliche für Stuxnet wurde enttarnt: US-Präsident ist für den Cyberangriff auf den Irak verantwortlich. Zumindest in sofern, als dass er den von seinem Vorgänger gestarteten Angriff fortgeführt hat. War da nicht irgendwas mit "Change"? Egal! Stellt sich nur die Frage, was er macht, wenn er jetzt irgendwo wegen Computersabotage angeklagt wird, immerhin hat Stuxnet ja etliche unbeteiligte Rechner infiziert. Und das "because of a programming error that allowed it to escape Iran’s Natanz plant and sent it around the world on the Internet." Oder wie wäre es mit Schadenersatzklagen gegen die USA? Das könnte teuer werden. F-Secure fragt auch schon nach der Rechnungsadresse: "To whom may the antivirus industry and its affected customers send the bill for the collateral damage done?". Vielleicht reicht das Kontaktformular auf whitehouse.gov?

Carsten Eilers