Flame verwendet Microsoft-Zertifikat - Update KB2718704 empfohlen

Gast

Zitat

Flame verwendet Microsoft-Zertifikat
von Florian Kalenda, 4. Juni 2012, 20:16 Uhr
Microsoft hat eine Sicherheitswarnung (KB2718704) herausgegeben: Nach seiner Analyse sind Komponenten der Malware Flame mit einem digitalen Zertifikat signiert, das auf Microsoft als Ausgabestelle zurückverweist. Nach Microsofts Angaben wurde "sofort damit begonnen, das Problem zu untersuchen".

Kaspersky hat Flame "die komplexeste Bedrohung aller Zeiten" genannt. Die vor allem im Nahem Osten umlaufende Windows-Malware ist vermutlich im Auftrag eines Staats entstanden. Microsofts Security Response Center in Person von Senior Director Mike Reavey warnt: "Nach unseren Forschungen könnten einige von dieser Schadsoftware verwendete Techniken auch von weniger raffinierten Angreifern eingesetzt werden."
In seiner Sicherheitsmeldung erwähnt Microsoft die Gefahr von Spoofing, also Täuschung des Nutzers über den Ursprung eines Programms oder einer Webseite. Man habe nun die beiden zwischengeschalteten Validierungsstellen abgeschaltet, um dies zu verhindern. Für Windows-Systeme steht außerdem ein Patch bereit.
Unklar bleibt, wer Zugang zu den Zertifikaten hatte und ob sie von autorisierten Mitarbeitern missbraucht worden sein könnten. Jonathan Ness vom MSRC erklärt nur: "Was wir herausgefunden haben, ist, dass von unserer Zertifizierungsstelle für Terminal Services herausgegebene Zertifikate so modifiziert werden können, dass sie von Microsoft zu stammen scheinen. Sie sind aber nur dafür gedacht, Serverlizenzen zu prüfen." Solche Zertifikate würden ab sofort nicht mehr herausgegeben.
Flame hat sich vor allem in nahöstlichen Ländern und insbesondere im Iran verbreitet. Nach iranischen Angaben wurden zahlreiche Rechner hoher Regierungsmitarbeiter befallen. Der Spionageangriff habe speziell Irans Ölindustrie gegolten, heißt es. Das Ministerium für Öl und Energie musste im letzten Monat alle Internetverbindungen kappen und Daten aus Sicherungsdateien wiederherstellen.
Israel hat gegenüber der BBC jede Beteiligung an "Flame" ausdrücklich dementiert. Die New York Times betont, ihre Quellen für die Recherchen zu Stuxnet hätten keinen Kommentar zu der Frage abgeben wollen, ob die USA hinter Flame steckten.

Alles anzeigen

Flame verwendet Microsoft-Zertifikat | Security | News | ZDNet.de

Was für normale Bürger verboten ist machen jetzt die Regierungen und deren Geheimdienste.
Es ist wirklich der normale User zu verurteilen der meist minderwertige Schadsoftware in den Umlauf bringt. Der sollte sich mal ein Beispiel der Geheimdienste nehmen was die für eine Qualität liefern.
Aber ganz so einfach ist das erstellen eines solchen "Viruses" nicht. Dann stellt sich ja noch ein weiteres Problem wie man ihn überhaupt einschleusen kann.

Stuxnet ist ja mit tatkräftiger Unterstützung von Simens entstanden die ja an einem Forschungsprojekt betreffend Sicherheitslücken mitgewirkt hat.

Details zur Entstehung von Stuxnet

Zitat

Stuxnet Angriff ist besser als Verteidigung
18.01.2011 · Im Cyber-Krieg ist kaum zu erkennen, woher ein Angriff kommt. Die Grenze zwischen Attacke und Abwehr verschwimmt. Das zeigt der Computerwurm Stuxnet, der aus Amerika und Israel stammen soll.

Die Saga um den Computerwurm Stuxnet, mit dem die iranischen Urananreicherungsanlagen sabotiert wurden, nimmt kein Ende. Die jüngste Fortsetzung beschreibt die „New York Times“. Sie benennt die wahrscheinlichen Hintergründe und Urheber des Stuxnet-Wurms (Computerwurm: Israel testete Stuxnet in geheimer Atomanlage) und enthüllt, dass es in der israelischen Atomanlage in Dimona eine Replika der iranischen Anlage gibt, um Angriffe gegen das Original zu testen.
Dass es zur Entwicklung des Stuxnet-Wurms einer solchen Testanlage bedurfte, verwundert nicht. Schon bei den ersten Operationen zum Stopp nuklearer Waffenentwicklungen, die in den Geschichtsbüchern verzeichnet sind - den Angriffen britischer und norwegischer Spezialeinheiten während des Zweiten Weltkriegs auf die unter deutscher Kontrolle befindliche Norsk-Hydro-Produktionsanlage für schweres Wasser im norwegischen Vermork -, wurden die Angreifer in detailgetreuen Nachbauten ausgebildet. Sie sollten sich in den Gebäuden wie zu Hause fühlen, notfalls in völliger Dunkelheit die Sprengladungen an den richtigen Stellen anbringen können. Seither gehören Replika-Anlagen zum Arsenal der nuklearen Proliferations-Bekämpfung.
Die Spur führt nach Idaho
Die Analyse des Stuxnet-Codes offenbarte, dass die Angreifer gegen das iranische Atomprogramm über detaillierte Informationen über die Zentrifugen und ihre Steuerungskomponenten verfügten. Die Methode der Zerstörung beruht offenbar darauf, durch den Computerwurm die Hochgeschwindigkeits-Rotoren der Anreicherungsmaschinen in Drehzahlbereichen fahren zu lassen, die zu Eigenschwingungen führen. Derart komplexe Angriffsmethoden erfordern nicht nur ein genaues Detailwissen der zu zerstörenden Zentrifugen, sie müssen auch unter realistischen Bedingungen an einer identischen Anlage getestet werden.

AFP Die israelische Nuklearanlage Dimona - inklusive einer Replika der iranischen Atom-Anlage

Wenn man nach Testanlagen für Industriesteuerungen sucht und nach Experten, die sich mit den Sicherheitslücken auskennen, landet man im amerikanischen Idaho National Laboratory. Im dortigen „Scada-Testbed“ sind im Labor Steuerungssysteme aller wichtigen Hersteller versammelt - inklusive qualifizierten Personals. Scada steht für „Supervisory Control and Data Acquisition“ und umfasst den gesamten Bereich industrieller Steuerungen und Kontrollsysteme.
Siemens ist auch dabei
Der Zweck des Aufbaus: Forschung zur Verbesserung der Sicherheit von Industriesteuerungen. Offiziell geht es um den Schutz kritischer Infrastruktur wie etwa der Energieversorgung vor Angriffen aus dem Netz - genau vor der Bedrohung also, die Stuxnet darstellt. Nachdem Forscher des Labors 2006 per Manipulation des Steuerungssystems einen Kraftwerksgenerator in ihrem Labor gesprengt hatten, bekamen sie die Aufmerksamkeit, die finanziellen Mittel und die Kooperation der Hersteller, die für die Einrichtung des umfangreichen „Scada-Testbed“ nötig waren.
Einer der Hersteller, die in Idaho dabei sind, ist Siemens. Den Bitten des amerikanischen Department of Homeland Security, bei der Forschung zum Schutz von kritischen Anlagen mitzuwirken, konnte man sich schließlich schlecht verweigern. Der Artikel der „New York Times“ bestärkt nun aber eine Ansicht, die in den Kreisen derer, die sich mit der Analyse des Stuxnet-Wurms befassen, seit längerem kursiert: Es geht in Idaho nicht nur um Schutz, es geht auch um Angriff - und die Firmen, die in Idaho mitmachen, haben möglicherweise absichtlich oder unabsichtlich geholfen.
Wenn eine Sicherheitslücke offengelegt ist, muss der Hersteller sie schließen
Die Geschichte ist ein Lehrbuchbeispiel für die janusköpfige Natur der Forschung an Sicherheitslücken. Wie bei der Biowaffenforschung entsteht zwangsläufig bei der Suche nach Schutzmöglichkeiten das Wissen um die Wege zur Attacke. Die systematische Suche nach Lücken generiert einen Informationsvorsprung, der offensiv genutzt werden kann. Angriffe gegen Computersysteme nutzen eine Vielzahl von Schwachstellen aus. Schlecht oder nachlässig geschriebene Software ist der häufigste Angriffsvektor. Immer noch tendieren Entwickler dazu, nicht über Sicherheit gegen Angriffe nachzudenken, sondern sich auf das Funktionieren ihrer Systeme zu konzentrieren.
Im Bereich der Industriesysteme ist dieses Phänomen noch ausgeprägter als bei normaler Alltagssoftware. Hacker haben durch ihre mehr oder minder spielerische Ausnutzung von Lücken und die Publikation der Probleme viel dazu beigetragen, Computersysteme sicherer zu machen. „Full disclosure“ heißt das Prinzip, dem die Szene lange Zeit folgte. Der Grundgedanke: Wenn eine Sicherheitslücke offengelegt ist, muss der Hersteller sie auch schließen. Selbstverständlich sind die Hersteller davon nicht begeistert. Neben der Blamage sehen sie sich dem Druck der Kunden ausgesetzt, die schnelle Abhilfe fordern. Die Gegenbewegung war so einfach wie unidealistisch: Spezialisierte Beratungsfirmen kaufen für die Hersteller unter der Hand auf dem grauen Markt die Sicherheitslücken, bevor sie publiziert werden und reichen sie an ihre Zweitkundschaft aus dem Geheimdienstbereich weiter.
Produkte mit Hintertüren
Parallel dazu ist eine Reihe von Forschungseinrichtungen - wie das „Scada-Testbed“ in Idaho - entstanden, die systematisch nach Sicherheitslücken suchen. Die Forschung findet im Verborgenen statt, nur an Anzahl und Umfang der Sicherheitsupdates ihres Herstellers können Kunden erkennen, mit welchen Lücken sie bis dato gelebt haben. Ein wichtiger Seiteneffekt der neuen Verschwiegenheit: Ob wirklich alle gefundenen Sicherheitslücken schnell geschlossen werden oder ob nicht die besten für geheimdienstliche Zwecke aufgespart werden, ist zu einer Frage des Vertrauens in die Ehrlichkeit des Herstellers geworden.
Berichten von Insidern zufolge gibt es seit Jahrzehnten informelle Gremien, in denen die marktführenden Hersteller von Computerhard- und -software und Telekommunikationsnetzen mit den Geheimdiensten ihres Heimatlandes darüber feilschen, ob eine spezifische Lücke schnell oder erst später geschlossen wird. Insbesondere Hersteller aus Ländern wie Israel oder China stehen in dem Ruf, ihren Ländern bei der digitalen Informationsgewinnung direkt zu helfen - mit Hintertüren in ihren Produkten. Damit das Ansehen im Markt nicht aufs Spiel gesetzt wird, was bei der Entdeckung offensichtlicher Hintertüren schnell der Fall ist, werden traditionell Sicherheitslücken offiziell unentdeckt gelassen und erst geschlossen, sobald sie bekannt werden. In der Zwischenzeit können die Schwachstellen von den Geheimdiensten ausgenutzt werden.
Der digitale Erstschlag
Die wenigen Schlaglichter, die im Rahmen der Stuxnet-Saga auf die schattigen Gefilde des Sicherheitslücken-Handels und der mehr oder minder freiwilligen Kooperation der Hersteller mit den Geheimen geworfen werden, zeichnen ein besorgniserregendes Bild. Der Stuxnet-Angriff richtete sich gegen das iranische Atomprogramm, ein Ziel, bei dem niemand die konventionelle Angriffsmethode - einen Luftangriff, möglicherweise mit Atomwaffen - bevorzugen würde. Was aber, wenn es das nächste Mal gegen venezolanische Erdölraffinerien, russische Staudämme oder chinesische Atomkraftwerke geht? Alles deutet darauf hin, dass der Einsatz von Cyberwaffen zum Regelfall der klandestinen Auseinandersetzung wird. Anfangs wird der digitale Erstschlag wohl auf Ziele beschränkt sein, bei denen eine weitgehende Zustimmung der Öffentlichkeit angenommen oder arrangiert werden kann.
Was aber passiert, wenn in wenigen Jahren das digitale Schlachtfeld um immer mehr Angriffsspieler erweitert wird, wenn durch fortschreitende Bildung und Digitalisierung immer mehr Länder sich die entsprechenden Forschungs- und Ausbildungszentren für eine elektronische Kriegerkaste leisten können? Die immer wieder geschürte Panik vor chinesischen Cyber-Angriffen kennzeichnet nur den Anfang der Entwicklung. Es verfestigt sich der Eindruck, als hätten die Vereinigten Staaten und Israel die digitale Büchse der Pandora verfrüht geöffnet. Die meisten Länder des Westens haben keine oder nur sehr hilflos anmutende Cyber-Verteidigungskonzepte.
Die bisherigen Mechanismen genügen nicht
Mehr Überwachungsgesetze werden ebenso wenig helfen wie mehr Firewalls, Virenscanner und das sonstige, weitgehend nutzlose Produktangebot der Computersicherheitsbranche. Auch das geplante deutsche Cyber-Sicherheitszentrum hätte einen Angriff auf dem Niveau von Stuxnet weder erkennen noch verhindern können. Um sich für das neue Zeitalter zu wappnen, bedarf es grundlegenderer Anstrengungen, die bis an die technischen und ideellen Wurzeln unserer Hightech-Gesellschaft reichen. Die Länder des Westens müssen sich darüber klarwerden, dass die bisherigen Mechanismen der gesellschaftlichen Kontrolle ihrer geheimen Dienste und des Militärs angesichts der neuen Machtmittel im digitalen Bereich nicht mehr ausreichen.

Alles anzeigen

Stuxnet: Angriff ist besser als Verteidigung - Digitales Denken - FAZ

Cu
Verbogener

Gast

Zitat

Entwickler von Stuxnet und Flame standen in Verbindung
11. Juni 2012, 17:55

Kaspersky sieht auffällige Ähnlichkeiten bei mutmaßlichen Cyberwaffen
Das Computer-Schadprogramm Flame hat nach jüngsten Erkenntnissen des IT-Sicherheitsexperten Kaspersky Ähnlichkeiten mit dem Computerwurm Stuxnet. Beide dürften nach Spekulationen auf das Atomprogramm des Iran abzielen. Die Forscher der russischen Firma haben nach eigenen Angaben auffällige Übereinstimmungen festgestellt. Als sicher gelte deshalb, dass die Entwicklerteams zumindest in der Entwicklungsphase kooperiert hätten, teilte Kaspersky am Montag mit.
Eine Waffe im Cyberkrieg
Forscher von Kaspersky hatten den Spionage-Virus Flame im Mai entdeckt und als eine gefährliche Waffe im Cyberkrieg eingestuft. Für eine Analyse hatte das russische Unternehmen vergangene Woche von Flame ausspionierte Daten auf eigene Server umgeleitet. Wie das Unternehmen nun mitteilte, stamme ein in Stuxnet eingesetztes Modul (Plug-in) von Flame. Dies bedeute, dass die Plattform bereits existiert haben müsse, als der Stuxnet-Wurm Anfang 2009 entwickelt wurde.
Das besagte Modul ("Resource 207") sei zur Ausbreitung der Infektion über USB-Speicher verwendet worden, hieß es. "Der Code des USB-Speicher-Infektionsmechanismus ist bei Flame und Stuxnet derselbe." 2010 sei das Flame-Modul wieder aus Stuxnet entfernt und durch ein anderes ersetzt worden. Die Entwicklerteams hätten offenbar wieder unabhängig voneinander gearbeitet.
Durchschnittliches Schadprogramm
Flame kann über das Mikrofon eines Rechners Gespräche belauschen, Bildschirminhalte scannen und Tastatureingaben aufzeichnen sowie auf Inhalte im gleichen Netzwerk zugreifen. Der Schädling war laut Kaspersky vor allem in Iran, im Nahen Osten und Nordafrika aktiv. Über die Effektivität des Schädlings gehen die Meinungen auseinander. Während Kaspersky in Flame eine ausgeklügelte Superwaffe sah, stufte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) den Wurm als durchschnittliches Schadprogramm ein.
Stuxnet greift bestimmte Industrieanlagen-Module von Siemens an und wurde vermutlich zur Sabotage der Atomprogramme im Iran eingesetzt. US-Medien berichteten, US-Präsident Barack Obama habe die Angriffe persönlich angeordnet. (APA, 11.06. 2012)

Alles anzeigen

Entwickler von Stuxnet und Flame standen in Verbindung - IT-Security - derStandard.at

Zitat

[h=1]Entdecker des Computervirus Flame warnen vor Unterschätzung des Virus[/h][h=6]1. Juni 2012, 12:15[/h]
[h=2]Russische Experten: Bisher nur die Spitze des Eisbergs zu sehen[/h]Die Bewertung des Computer-Virus Flame spaltet die Antivirus-Szene. Während deutsche Regierungsexperten vom Bundesamt für Sicherheit in der Informationstechnik (BSI) in dem Schadprogramm keine Waffe in einem Cyber-Krieg sehen, warnen die Fachleute des russischen Antivirus-Unternehmens Kaspersky Lab erneut davor, Flame zu verniedlichen.
"Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bisher bekannten Cyber-Bedrohungen"
Der Computerschädling Flame war in den vergangenen Monaten von Kaspersky Lab entdeckt worden. Flame spioniere seit über drei Jahren Computeranwender und Netzwerke im Iran, Nahen Osten und Nordafrika aus, erklärte das Unternehmen am Dienstag. "Die Komplexität und Funktionalität der neu entdeckten Schadsoftware übersteigt die aller bisher bekannten Cyber-Bedrohungen", sagte Firmen-Chef Eugene Kaspersky. Er setzte Flame in eine Reihe mit dem Schädling Stuxnet, der bestimmte Industrieanlagen-Module von Siemens angreift und vermutlich zur Sabotage der Atomprogramme im Iran eingesetzt wurde.
Dirk Häger vom BSI sagte am Donnerstag der Nachrichtenagentur dpa, die bei Flame entdeckten Funktionen seien auch in bekannten Schadprogrammen wie "Poison Ivy" zu finden. "Stuxnet war etwas Besonderes, Flame aber nicht." Dem widersprach am Freitag Kaspersky: Betrachte man die Vollständigkeit, Komplexität und Effektivität von Flame, unterscheide sich dieser Schädling deutlich von anderen Spyware-Programmen.
"Spitze des Eisbergs"
"Zur Zeit arbeiten zahlreiche Forscher verschiedener Unternehmen weltweit an der Analyse von Flame - und trotzdem sind alle Experten noch weit von einer vollständigen Analyse sämtlicher Komponenten entfernt", sagte Kaspersky. Daher sei es gewagt, Flame als "nichts Besonderes" zu bezeichnen, "denn Flame ist nach Ansicht der Experten erst die (beeindruckende) Spitze des Eisbergs".
Einig sind sich BSI und Kaspersky immerhin darin, dass die Länder im Nahen Osten das Hauptziel von Flame darstellen. (APA, 01.06. 2012)

Alles anzeigen

http://derstandard.at/1336698491042/…tzung-des-Virus

Cu
Verbogener

Flame verwendet Microsoft-Zertifikat - Update KB2718704 empfohlen

Jetzt mitmachen!

Revolution oder Risiko? KI-gestützte Hörbücher im Wandel

Großrazzia gegen organisiertes Verbrechen in Sachsen-Anhalt

Wieder online: Warez-Forum Data-Load kehrt zurück nach einer unerwarteten Zwangspause

Geplante Änderungen bei der Vorratsdatenspeicherung: Ein Überblick

Existenz eines vermeintlichen Limits bei Google durchMassive Löschungen in Frage gestellt

Ubuntu 26.04: Der Weg in die KI-Zukunft oder nur ein Marketing-Schachzug?

Illegale IPTV-Dienste: Eine versteckte Geldquelle für einen britischen Postboten

Großfahndung gegen IPTV-Piraten in Großbritannien

Datenleak an der Universität Saarland — Über 40.000 Accounts betroffen

Vergleich der Privacy-Coins: Monero und Zcash im Überblick

Viren und Trojaner News

HILFE: BKA Trojaner

Welche Anti Viren Software ist zu empfehlen?

Neuer Lösegeld Trojaner im Umlauf

Warnung vor kritischer Java-Lücke - es sollte sofort deaktiviert werden!

BSI rät zur System-Überprüfung vor dem 8. März

Virenscanner empfehlungen zur Virenbeseitigung

WORM/Kido.IH.54' gefunden brauche Hilfe

Abzock-Schutz im ULC

Warnung eingehende Mails (Verschlüsselungstrojaner)