Ich hab den Eintrag nochmal komplett überarbeitet, um Missverständliche Passagen zu streichen 😉
Sonst bleibt es dabei – ich hoffe mal, völlig eigene und von den Aufgaben unabhängige Einträge sind hier kein Problem – andernfalls entferne ich den Beitrag hier gern wieder 😉
Ich hab mir in den letzten Tagen ein ziemlich hohes Ziel gesteckt.
Es passt glücklicherweise genau zu dieser Veranstaltung – denke ich zumindest.
Als Informatik-Student ist die IT ja sowieso schon meine Leidenschaft – jetzt möchte ich aber einen großen Schritt weiter machen, den ersten Schritt auf einem langen Weg gehen.
Mein großes Ziel – Reverse-Engineering und Malware-Research.
Ob ich irgendwann beruflich in der Richtung etwas machen möchte weiss ich noch nicht, denn vermutlich bliebe mir nicht viel anderes übrig als bei Antivirenherstellern zu arbeiten..
Und ganz Fefe-Like halte ich Antiviren-Tools für Snakeoil, einfach nutzlos. Zumindest jene, die weit verbreitet sind. Vielleicht gibt es ja irgendwo noch wirklich vernünftige Programme, ich zweifle jedoch daran.
Ergo würde ich vermutlich lieber meine Freizeit damit verbringen, auf diese Art die (IT-)Welt zumindest ein klein wenig besser zu machen.
Natürlich kommt dieses Interesse nicht von ungefähr.
Wie es bestimmt auch bei anderen ist, reizte mich ursprünglich mal die „böse“ Seite der Informatik.
Ein Leben als „BlackHat“, um genau zu sein.
Es klang einfach reizvoll, mit vergleichsweise wenig, allerdings ausgesprochen guter und gründlicher Arbeit viel Geld zu “verdienen” – und sich selbst zu beweisen, dass man besser ist als tausende andere IT’ler.
Bevor jemand das falsch versteht – ich hatte nie vor, komplexe Viren oder Rootkits zu erstellen und irgendwem damit direkt Schaden zuzufügen.
Es gibt einen großen (Schwarz-)Markt für 0-Days.
Das sind Fehler in Programmen, die bislang nicht bekannt sind. Von “StuxNet” hat bestimmt jeder mal gehört, der von den USA und Israel gemeinsam entwickelte Computerwurm der hauptsächlich gegen das Iranische Atomprogramm eingesetzt wurde.
Die dort verwendeten 0-Days hatten einen Wert im 2-stelligen Millionenbereich.
Ich lernte damals also ein wenig programmieren, mit Linux & *BSD umzugehen – aber das Interesse am bösen versackte dann doch ziemlich schnell wieder.. Vielleicht griff auch mein Gewissen ein, die Moral. Da haben meine Eltern wohl was richtig gemacht.
Wo findet man also Informationen zur “gegenseite”, wenn man einen solchen Seitenwechsel erlebt?
Wenn man kein Interesse mehr am zerstören und ggfs eigenen Vorteil hat, sondern aufbauen möchte?
Oder noch besser, bestehendes schützen und verteidigen?
„Malicious Code“ schreiben ist gar nicht mal so schwer. Zumindest in den einfachsten Varianten.
Aber wie fängt man von der anderen Seite an?
Wie spürt man bösartigen Code auf, gerade wenn der Erschaffer sich mühe gibt, diesen zu verstecken?
Es war viel einfacher, als ich dachte. Reddit mit seinen gefühlten Milliarden Subreddits, davon etliche zum Thema IT-Security, Malware, etc.
Und ich könnte ewig so weitermachen.
Natürlich schwankt die Qualität der Beiträge dort sehr stark, es gibt immer wieder die typischen “Skids”, die in Erfahrung bringen wollen wie sie ihre Baukastenviren verschleiern können.
Aber ein paar gute Tipps zum Einstieg sind schnell gefunden.
Ein ähnliches Bild auf Twitter – @MalwareMustDie war schnell gefunden. Unter deren Followern unmengen an IT-Security-Experten.
Mal wieder eine gigantische Informationsflut.
Mit vielen der Informationen dort kann ich noch nicht allzu viel anfangen, aber ich kann versuchen, es zu verstehen – und hab eine Anlaufstelle, sobald ich ein wenig Erfahrung habe.
Last, but not least eine analoge Anlaufstelle – der Chaos Computer Club Bremen.
Auch hier hoffe ich im Laufe der Zeit einiges lernen zu können, kleine Denkanstöße genügen ja schon, um selbst weiterführende Informationen zu Tage befördern zu können.
Also dann – los geht’s.
Ich werd damit beginnen, viel über Reverse-Engineering in Erfahrung zu bringen, was Assembler-Verständnis benötigt.
Sobald ich damit halbwegs klarkomme, werd ich mir “simple” Viren anschauen.
Verstehen, was sie tun, wie sie arbeiten. Versuchen, gemeinsamkeiten zwischen ihnen allen zu finden.
Es gibt viel zu tun, und so wenig Zeit.
Hallo Matthias,
ich denke da wird keiner was gegen haben, wenn du deine eigenen Beiträge veröffentlichst neben den anderen. Es ist schön, wenn du uns dein Wissen und deine Meinung mitteilen willst und ich habe nun beide Posts gesehen und finde den zweiten auf jeden Fall auch viel übersichtlicher gestalten. Super Sache!
Meine Frage zu dem Thema, du findest die Antiviren Tools, die weit verbreitet sind nicht gut. Welches kannst du denn dann empfehlen oder gibt es keines was dich überzeugt?
Ich bin gespannt wie dein „Lernprojekt“, was es ja anscheinend ist sich entwickelt und was du uns davon berichten magst. Ein sehr spannendes und brisantes Thema. Ich wünsche dir viel Erfolg damit!
Grüße
Sebastian
Hallo Sebastian,
leider kenne ich kein aus meiner Sicht brauchbares Antivirenprogramm.
Die übliche Funktionsweise dieser Programme ist, dass für jede Datei auf dem Rechner, bzw beim herunterladen oder beim ausführen dieser Dateien ein Hashwert erstellt, bzw diese Dateien mit einer (Viren-)Signaturliste des Herstellers verglichen werden.
Um also Viren bzw allgemein Malware auf einem PC aufzuspüren, muss sie bereits bekannt und Untersucht sein, damit jene Werte überhaupt zur verfügung stehen.
Das klappt soweit zwar relativ gut, allerdings liegt es allein daran, dass ein ziemlich großer Teil der Viren aus irgendwelchen „Baukästen“ zusammengeklickt wird, meist von Jugendlichen die nicht wirklich Wissen, was sie dort tun.
Häufig sind die Exploits (Fehler in Programmen) die solche Viren nutzen aber auch längst via Patch korrigiert, eine echte Gefahr geht davon (mMn) nicht aus, wenn das System aktuell gehalten wird.
Ganz anders sieht die Sache allerdings aus, wenn die Hersteller der Malware wirklich Wissen, was sie tun. Hier zeigt sich dann auch die unzuverlässigkeit üblicher Antivirenprogramme.
Gute Beispiele dafür sind der sogenannte „BKA-Virus“, oder ganz aktuell der „Cryptlocker“-Virus.
Natürlich sind diese weit verbreitet, und dadurch auch sehr schnell in allen Virendefinitionslisten, jedoch reichen kleine Änderungen am Code, und schon ist das ganze wieder „unsichtbar“.
Alternativ gibt es sogannten „ProAktive“ Virenscanner.
Diese haben zwar den Vorteil, dass sie nicht auf Signaturen oder Hashwerte angewiesen sind, sondern die Dateien direkt untersuchen.
Hierbei gibt es aber Probleme – entweder geben sie viele sogenannte „false positives“, also Fehlalarme aus, oder aber sie übersehen viel Malware und erkennen lediglich 70-80% der echten Bedrohungen.
Ich persönlich benutze keinen Virenscanner, jedoch auch seit längerer Zeit ausschließlich Linux.
Hier gibt es überhaupt weniger Schadsoftware, ganz einfach weil es keine derartige Verbreitung hat wie beispielsweise Windows.
Und die strikte Rechteverwaltung erschwert den Viren das Leben noch weiter, da für Zugriffe auf das eigentliche System, was ja das Ziel der meisten Malware ist, root-rechte benötigt werden und ein normaler User nicht viel „kaputt machen“ kann.
Hallo Matthias,
immer wieder interessant andere reddit-user zu treffen. Hier hätte ich damit aber nicht gerechnet.
Werde deinen Blog verfolgen; weiter so, BlackHat! 🙂
Gruß,
Chris
PS. The narwhal bacons at midnight!