M$Blupdate – begeht Microsoft Selbstmord?

W32.Blaster, MSBlast, W32Lovesan – drei Namen für einen der berühmtesten Würmer der Welt. Wurm heißt in diesem Fall „self-reproducing software“. Gerade dieser Wurm hat in der IT-Welt für aufsehen gesorgt: und zwar durch Nachi, ein „gegenwurm“ zu MSBlast, der über eine Sicherheitslücke in das Windows Betriebssystem gelangte, MSBlast entfernte und die Sicherhetslücke schloss, dann versuchte er weiter auf andere Rechener zu gelangen.

Diese Strategie will Micro$oft nun adaptieren und ihre Sicherheitsupdates per Wurm verbreiten.Einen größeren Schwachsinn kann es ja wohl nicht geben!!! Noch dazu, da M$ hierzu „intelligente viren“ entwicklen will! diese sollen, z.B. erst versuchen einen IP-Adressraum völlig zu „infizieren“ und erst, wenn dieses ziel so weit wie nur irgendwie möglich erfolgreich war, sich auf einem neuen IP-Adressen raum festzusetzen. Klar, das ist vor allem für Firmen von Vorteil, da dadurch ihre vlans (also ihre netzwerkstrucktur) am schnellsten upgedated wird. Trotzdem – ein Schwachsinn!

Nicht nur wird dadurch die Möglichkeit des Users, selbst über seinen Computer  zu  entscheiden stark eingeschränkt! Auch kann dieses Update-Distribution-System nur allzuleicht missbraucht werden. „Remote Administration“, ein anderes Wort für die feindliche Übernahme eines Rechners aus der Entfernung wäre für M$ und mit M$ „kooperatierenden“ Parteien ein leichtes. Civil Surveillance wäre, vor allem auch durch die fortschreitende legalisierung dieser dadurch beinah selbsterledigend. Rootkit/Trojans, wie BO2K müssen nur an das update angehängt werden und wer-auch-immer hat vollen Zugriff auf das System.

In diesem wer-auch-immer liegt dann auch ein gewaltiges Problem. Wer könnte sich leichter ein Sicherheitssystem überwinden, als der, der es entworfen und umgesetzt hat (und die sicherheitsupdates macht)? Natürlich kann M$ sich in das eigene System hacken! Wenn nun aber diese Update-Würmer frei im Internet herumsurfen, von PC zu PC, ist es ein leichtes, einen dieser einzufangen, zu analysieren, seine stoßrichtung herauszufinden und entweder darauf basierend einen eigenen Wurm entwickeln, der dieselbe sicherheitslücke nutzt, diese hinter sich schließt und somit einerseits Updates ausschließt und andererseits dem System Schaden zufügt, oder an den bestehenden Wurm malware anfügen, sodass das Update eingespielt wird und Sicherheitslücken geschlossen werden, der User glaubt – sofern er es merkt – ein update eingespielt zu bekomme, tatsächlich aber Rootkits von black hat hackern eingespielt werden. Und angenommen, es gelingt Black Hats, einen solchen Update-Wurm in die Hände z ubekommen, bevor er released wird, ihn zu manipulieren und vor dem eigentlichen Update in Umlauf zu bringen ist die IT-Welt mit einem neunen MonsterWurm, M$Blupdate, konfrontiert. Taktisch klug eingesetzt (und mit einer großen Zahl guter und schneller Black Hat CR/Hacker), lässt sich aus diesem einen Vorfall ein ganzer Cyberwar entfachen – die Updater von Microsoft, gegen die Black Hat Updater mit taktischen Vorteilen auf beiden Seiten. Auf seiten M$ wäre da das weitaus genauere Wissen über das Betriebs- und Sicherheitssystem. Auf Seiten der CR/Hacker die Geschwindigkeit, denn haben sie einmal die Rootkits auf den Rechnern installiert, können sie jederzeit direkt-updates machen, bei denen Schutz gegen die Aggressoren (in diesem Fall aber M$) eingespielt wird.

Auch wenn die letzte Ausführung nur sehr paranoide Menschen für wahrscheinlich halten (ich tus nicht), so ist es doch ein zu großes Sicherheitsrisiko für M$, denn mit Vista, VistaSP1, dem Patch zu VistaSP1 und der Tatsache, das Server 2008 bereits mit SP1 auf den Markt kommt haben sie das wohlwollen vieler Kunden sicherlich stark strapaziert. Sollte nun der Fall eintreten, dass Black Hat Hacker mithilfe von modifizierten Microsoft-Updates Schaden anrichten, kann sich die öffentliche  Meinung sehr schnell, sehr ungünstig für das Geschäft M$ auswirken…

  1. und noch etwas sehr, sehr, sehr bedenkliches von seiten M$: MSBlast, jener Schreckenswurm aus dem Jahr 2003 verwendete Port 135 um zugriff auf den computer zu bekommen. eben jener port ist bis zu windows vista immer noch geöffnet – auch wenn man grundsätzlich alle ports sperrt. Ports 134-137 (glaub ich) sind spezielle ports, die immer alle möglichen komischen dinge machen. z.B.: in der arbeit hatten wir diese woche eine hack-attack. und zwar wurden einige rechner mit viren infiziert, die einen DDOS(distributet-denial-of-service-attack) starteten – auf irgendeinen server in deutschland, wie es scheint. und über welchen port verbreiteten sie sich weiter? Port 135 – über den sie auch den DOS laufen ließen! heute, nachdem wir das problem gelöst haben, sehe ich, dass von einem rechner in unserer autonomie (sozialer verein – eingemietete künstler und so) ein scan unseres netzwerks läuft – auf port epmap = port 135!
    es stellt sich also die frage: warum ist dieser port, obwohl über ihn die meisten würmer agieren und/oder sich verbreiten stets offen?!

  1. 21. Februar 2008

Schreibe einen Kommentar

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s

%d Bloggern gefällt das: