Der Bayern-Trojaner oder Die sichere Übertragung der Daten des Überwachten

Der CCC kritisiert die stümperhafte Methode der Verschlüsselung des Trojaners. Aber wie könnte man es besser machen.

Der Trojaner und C+C Server gesichert kommunizieren, müssen alle Nachrichten verschlüsselt und signiert werden. Dazu bietet sich ein asymmetrisches Verfahren (Public Key) höchsten ein Verfahren an. Ein symmetrisches Verfahren, wie beim Bayern-Trojaner ist ungeeignet, da es einen gemeinsamen Schlüssel für die Ver- und Entschlüsselung verwenden.

Grundprinzip

Ein Public Key Schlüsselpaar besteht aus offenen und geheimen Teilen. Zwei Kommunikationspartner benötigen zwei Schlüsselpaare.

„Der Bayern-Trojaner oder Die sichere Übertragung der Daten des Überwachten“ weiterlesen

SSH Angriffe blockieren

Thema: Verteidigung gegen brute force ssh attacks / ssh-Angriffe abwehren

Thomas Arend, 21. März 2008
Update: 21. September 2011

Schon seit über zehn Jahren wird über zunehmende Angriffe auf den Dienst Secure Shell (ssh) berichtet [7,8]. Mittels brute force (brutaler Gewalt) versuchen einige Zeitgenossen Rechner mit Nutzerkonten zu finden, für die ein schwaches Kennwort vergeben wurde, und diese dann für ihre Zwecke zu nutzen. Bei einer brute force attack wird versucht mit Listen häufiger Kontennamen und trivialer Passwörter Zugang zu einem Rechner zu erhalten. Mit steigender Verbreitung virtueller Server oder über DSL ständig am Internet hängender Rechner, die über ssh verwaltet werden, werden diese Angriffe in Zukunft sicher nicht abnehmen. Trotz zahlreicher Hinweise, wie man seinen Rechner gegn solche Angriffe schützt,finden sich offensichtlich noch ausreichend Opfer, sonst würden diese Angriffe lohnenderen Methoden weichen. Mein VServer und mein über DSL am Internet hängender Rechner erhält jedenfalls mehrmals täglich Besuch.

„SSH Angriffe blockieren“ weiterlesen

WordPress SPAM

ls kleine Fingerübung habe ich die SPAM Kommentare und die IP-Adressen der Spammer gezählt. Auswertung unten.

Der Spitzenreiter liegt in einem Netz 91.201.64.0 – 91.201.67.255, Donekoserv , DonEkoService Ltd. Eine kurze Suche führte mich zu einem lustig verzweifelten Foren-Beitrag auf dem cpcwiki mit der Bitte den Unfug zu unterlassen; ich fürchte, unsere russischen Freunde werden sich für die Bitte wenig erwärmen. Der Eintrag der E-Mail Adresse unserer russischen Freunde ist höchst interessant. (Vielleicht tun wir den Russen auch Unrecht. Unsere Maklerwelten AG Bekannten sind bestimmt keine Belizianer oder Belizen oder …?) Nun aber, die E-Mail Adresse:

Als kleine Fingerübung habe ich die SPAM Kommentare und die IP-Adressen der Spammer gezählt. Auswertung unten.

Der Spitzenreiter liegt in einem Netz 91.201.64.0 – 91.201.67.255, Donekoserv , DonEkoService Ltd. Eine kurze Suche führte mich zu einem lustig verzweifelten Foren-Beitrag auf dem cpcwiki mit der Bitte den Unfug zu unterlassen; ich fürchte, unsere russischen Freunde werden sich für die Bitte wenig erwärmen. Der Eintrag der E-Mail Adresse unserer russischen Freunde ist höchst interessant. (Vielleicht tun wir den Russen auch Unrecht. Unsere Maklerwelten AG Bekannten sind bestimmt keine Belizianer oder Belizen oder …?) Nun aber, die E-Mail Adresse:

„WordPress SPAM“ weiterlesen

8 Tage Lykische Küste kostenlos für Sie. . .

Von: Cestovní agentura <c.hansmeier@t-online.de>
An: x@x-x.de
Datum: Heute 08:39:18

Herzlichen Glückwunsch !

Sie haben an unserem Internet Preisrätsel erfolgreich teilgenommen
und eine 8 tägige Flugreise in die Türkei für 4 Personen exklusiv der
Buchungsgebühr und PaxTax gewonnen:

- Hin- und Rückflug mit renommierten Charterfluggesellschaften nach Antalya
- 20 kg Freigepäck
- Transfer Flughafen – Hotel - Flughafen
- Rundreisefahrten gemäß Reiseverlauf in klimatisierten Reisebussen
- 6 Übernachtungen in mindestens 4 Sterne Hotels (Landeskategorie)
- 1 Übernachtungen in einem guten Thermal Hotel bei Pamukkale
- Frühstück
- Unterbringung im Doppelzimmer
- Lizenzierte Deutschsprachige Reiseleitung vor Ort

**************************************************************

Ihre Nummer: FS3511
Bestätigung unter: http://bit.ly/kAuVNg

Sollten Sie den Link nicht öffnen können, kopieren Sie ihn bitte
vollständig in die Adresszeile Ihres Internetbrowsers.

**************************************************************

Bei Fragen zu Ihrer Reise wenden Sie sich bitte direkt an das Reisebüro

Bitte buchen Sie bis zum 10.5.2011

Viele Grüsse

Claudia Hansmeier
Reisen Support Center

Ein netter Versuch, aber …

Ich nutze die angeschriebene Adresse nicht für Preisausschreiben. Außerdem sollte bei seriösen Angeboten mein realer Name bekannt sein. (Was nicht bedeutet, dass ein Angebot seriös ist, wenn mein richtiger Name als Anrede erscheint. „Exklusiv“ bedeutet „ausschließlich“. Buchungsgebühr und PaxTax waren im Preis nicht mehr drin, dafür reicht es für vier Personen. Auch der Urlaubsort steht noch nicht fest. Darf ich aussuchen? „009 war der Urlaubsort noch bekannt.(Siehe Rennes Blog)

Schaut man in den Header, offenbart sich eine T-Mobile IP Adresse als Quelle der Nachricht. Nicht unmöglich für Road-Warrier, aber ob die Gewinnbenachrichtigungen verschicken? Kein Disclaimer mit den üblichen, unnützen Hinweisen? Kein Handelsregistereintrag etc.

Kurzlink sind zwar praktisch, aber mit Vorsicht zu genießen. An dieser Stelle ist er wenig sinnvoll. Die Seite führt auf eine Seite mit einem iframe. Wenn man ihn auflöst, gelangt man zur Domain preisvergabestelle.de, lykischekueste.net und lykien-rundreise.net. Eine Whois Abfrage für lykien-rundreise.net ist wenig erhellen, die Domain preisvergabestelle.de gehört aber einem „Vollmann Simon“. Matthias Wolf aus Budapest gehört die Seite lykischekueste.net. Über die Suche nach Vollmann Simon fand ich den Beitrag in Rennes Blog.

Wieder nichts gewonnen.


Links

Rennes Blog

SPAM im Blog

Nachdem ich auf den ersten SPAM-Kommentar noch reingefallen bin, entwickle ich langsam einen Blick für SPAM-Versuche. Ein kurzer Klick auf den Link und in der Regel erscheint ein Werbe-Blog. So hat man vielleicht mich als Werbeopfer, aber ich werde keine weiteren hinzufügen. Das diese Blogs sich sogar gegenseitig dicht müllen hat schon etwas für sich.
Wer hier einen Kommentar frei geschaltet bekommen möchte, muss einen sinnvollen Beitrag zum Thema liefern. „Netter Blog“ „finde ich auch“ und ähnliche, überflüssige Belanglosigkeiten fliegen raus – auch wenn es sich nicht um SPAM handeln sollte. Für die Prüfung solcher Einträge ist mir meine Zeit zu schade.

Trojaner benutzt meine Bilder bei Ipernity

Wer bei der Google-Bildersuche nach „byggvir“ sucht, stößt auf der ersten Seite auf das untere Bild. Der Link führt zu einer Seite mit einem Trojaner, der einen Virenscan vortäuscht und ein Programm nachladen will. Nur gut, dass ich Linux und nicht Windows verwende. (Das 2. Bild am besten in groß oder Originalgröße betrachten.)

Trojaner // 1

Trojaner // 2